Hallo zusammen,
ich werde in Zukunft Virtualbox (in Verbindung mit phpvirtualbox) zur Virtualisierung nutzen.
Auf dem Host soll dann ein Debiansystem installiert werden, das aus den verschiedenen Netzen dann nicht mehr erreichbar ist (höchstens mal temporär für einige Minuten, um an die php-Oberfläche zu kommen).
Zwar braucht das Host-System ja auf jeder Netzwerkkarte, die ich an die VMs durchreichen möchte eine IP, aber ich kann per iptables ja einfach dafür sorgen, dass keinerlei Traffic auf irgendeinem der Interfaces vom Hostsystem angenommen wird.
Meine Frage nun: Muss ich aus Sicherheits-Sicht sonst irgendetwas bedenken?
Die VMs werden natürlich wie gewohnt zeitnah gepatched und abgesichert, es geht mir hier eher um das Hostsystem. Vor allem, da ich dieses nicht bei jedem Kernel-Update neustarten möchte (dort soll also dann ne Weile oldstable genutzt werden, wenn Debian 8 raus ist). Denn das Neustarten ginge natürlich zu Lasten meiner Verfügbarkeit. Alle Patches, die keinen Reboot erfordern werden natürlich auch hier eingespielt.
Speziell stört mich, dass es über die äußere Netzwerkkarte direkt am "Internet" hängt und ich hoffe, dass ein komplettes Blocken mit iptables dafür sorgt, dass alles möglichst wenig angreifbar ist.
Grüße!
Virtualbox im Servereinsatz
Re: Virtualbox im Servereinsatz
Hallo,
ich denke, du könntest das Interface auch einfach nur uppen ohne eine IP zu vergeben.
Wenn Virtualbox dann darauf bridgt, dann haben die VMs auch Zugriff, aber der Host ist nicht erreichbar.
Gruss
Martin
ich denke, du könntest das Interface auch einfach nur uppen ohne eine IP zu vergeben.
Wenn Virtualbox dann darauf bridgt, dann haben die VMs auch Zugriff, aber der Host ist nicht erreichbar.
Code: Alles auswählen
auto eth0
iface eth0 inet manual
up ip link set dev $IFACE up
down ip link set dev $IFACE down
Martin
Re: Virtualbox im Servereinsatz
Guten Morgen,
ja, habe gestern nochmal versucht, dem Interface keine IP zu geben, aber dann funktioniert das Bridging nicht...
Guter Tipp von dir, danke!
Was genau muss ich jetzt in die /etc/network/interfaces schreiben? Genau das, was du schriebst?
Mich irritiert, dass dort auch direkt "down" etc. steht.
Grüße
ja, habe gestern nochmal versucht, dem Interface keine IP zu geben, aber dann funktioniert das Bridging nicht...
Guter Tipp von dir, danke!
Was genau muss ich jetzt in die /etc/network/interfaces schreiben? Genau das, was du schriebst?
Mich irritiert, dass dort auch direkt "down" etc. steht.
Grüße
Re: Virtualbox im Servereinsatz
Hi,
Bei ifup setzt er den Linkstatus auf up und bei ifdown wird er auf down gesetzt.
Gruss
Martin
Nur noch den Interfacenamen anpassen und es sollte so funktionieren.mrserious hat geschrieben: Was genau muss ich jetzt in die /etc/network/interfaces schreiben? Genau das, was du schriebst?
Das sind Skripte, die bei ifup/ifdown ausgeführt werden.mrserious hat geschrieben: Mich irritiert, dass dort auch direkt "down" etc. steht.
Bei ifup setzt er den Linkstatus auf up und bei ifdown wird er auf down gesetzt.
Gruss
Martin
Re: Virtualbox im Servereinsatz
Ah, dann verstehe ich das
Super, ich danke dir, werde es mal an einem lokalen Rechner testen!
Super, ich danke dir, werde es mal an einem lokalen Rechner testen!