4. Virtualisierungsmöglichkeiten

Virtualisierungsmöglichkeiten

  • ?

    Ich interessiere mich derzeit für verschiedene Virtualisierungsmöglichkeiten unter Linux. Spontan fallen mir als freie Möglichkeiten UML und XEN ein. Nach recherchen im Netz habe ich rausgefunden, dass XEN die mit Abstand beste Performance erreicht.

    Nachdem ich mich nun genauer mit XEN auseinandersetzen wollte fiel mir allerdings auf, dass XEN derzeit nur für die 2.6.12'er Kernel zur Verfügung steht. Ich möchte XEN auf einem Produktivsystem bei uns in der Firma einsetzen, welches durch einen VPN-Tunnel von ausserhalb(auch für Kunden) erreichbar ist. Aus diesem Grund mache ich mir viele Gedanken um die Stabilität und in erster Linie um die Sicherheit.

    Meine konkrete Frage dazu: Was passiert wenn ich beispielsweise XEN 2.6.x laufen habe, jedoch wird ein kritischer Sicherheitsfehler entdeckt und im Kernel 2.6.x+1 gefixed. Nun kann ich mein Hostsystem leider nicht updaten, weil XEN für die Version 2.6.x+1 nicht verfügbar ist. XEN hängt leider immer mehrere Versionen im Rückstand und gilt trotzdem als sehr gute Virtualisierungsmöglichkeit. Nun frage ich mich, wie handhaben das andere mit Sicherheitslücken, oder habe ich das System falsch verstanden und es resultiert aus einem veralteten Hostsystem keine Sicherheitslücke für die Clientsysteme?

    Vielen Dank im voraus! 🙂

    0
  • N

    Das Einfachste wird wohl sein, Du verwendest einen passenden Distro-Kernel, bei dem auch Backports Security-Patches gemacht werden.

    Irgendwann war aber ohnehin mal geplant, Xen in den 2.6er-Kernel zu übernehmen. Momentan komme ich leider nur selten dazu, die LKML zu lesen, darum habe ich keine Ahnung, wie aktuell das noch ist.

    0
  • ?

    Danke Dir!

    nman schrieb:

    Das Einfachste wird wohl sein, Du verwendest einen passenden Distro-Kernel, bei dem auch Backports Security-Patches gemacht werden.

    Ok, das wäre eine Möglichkeit. Allerdings müsste ich dann auch deren Kernel verwenden, was mitunter Probleme verursachen wird(zickige Raid-Treiber). Ich kenne auch leider keine Möglichkeit nur die Security-Patches downzuloaden, um dann meinen Kernel selber zu patchen. Jedoch alles per Hand zu machen, wär ein bischen zuviel des Guten. 😉

    nman schrieb:

    Irgendwann war aber ohnehin mal geplant, Xen in den 2.6er-Kernel zu übernehmen. Momentan komme ich leider nur selten dazu, die LKML zu lesen, darum habe ich keine Ahnung, wie aktuell das noch ist.

    Soweit ich weiß, ist es damals nur an mangelnder "Code-Qualität" gescheitert.

    Allerdings stellt sich mir noch eine andere Frage: Ich kann doch in den virtualisierten Systemen auch neuere Kernel benutzen. Wie groß ist überhaupt das Risiko, dass das Host-System direkt angegriffen werden kann? Ein Benutzerprozess hat doch afaik gar keine Möglichkeit, mit dem Host-System zu kommunizieren, um schadhaften Code einzuschleusen, oder verstehe ich da etwas falsch? Er müsste dann schon Code in der Form einschleusen, dass dieser vom Sub-Kernel an den Hostkernel weitergeleitet wird und dort dann eine Sicherheitslücke ausnutzt.

    0
  • H

    Hallo,

    ja, in einem virtualisiertem Betriebssystem kann das Gastsystem kompromitiert werden. Siehe VmWare, im Moment ist ein Bug, wenn du ein spezial gecraftetes Ftpkommando verschickst kannst du einen Fehler in der ihrem Netzwerkmodul ausnutzen. Also theoretisch ist es möglich.

    Als mögliche freie OS Virtualisierung kannst du mal QEmu ausprobieren.

    Viele Grüße 🙂

    0
  • N

    Headhunter schrieb:

    Als mögliche freie OS Virtualisierung kannst du mal QEmu ausprobieren.

    Das wird wohl für Serveranbieter nicht allzu praktisch sein.

    Ein Admin schrieb:

    Ok, das wäre eine Möglichkeit. Allerdings müsste ich dann auch deren Kernel verwenden, was mitunter Probleme verursachen wird(zickige Raid-Treiber).

    Naja, in der Regel bringen die meisten Distros schon halbwegs brauchbare Kernels mit, notfalls kannst Du ja auch die Distro-Kernel-Sourcen noch selbst zurechtpatchen...

    0
Anmelden zum Antworten