Ubuntu中的虚拟机如何更安全? -- security 领域 和 virtualization 领域 askubuntu 相关 的问题

How could a virtual machine in Ubuntu be more secure?


简体版||繁體版
7
vote

问题

中文

一些消息来源模糊地暗示,在Linux内运行Windows虚拟机可提供附加的(在线)安全性。

VM是否更安全比容器?

通过在Linux上将Windows作为虚拟机运行来打击勒索软件

除了保护Linux系统免受VM内威胁的侵害外,在Ubuntu的VM中运行操作系统(Windows或其他)是否还有其他附加的安全优势?还是用户像在VM之外运行相同的OS一样容易受到在线威胁的攻击?

本质上,虚拟机是否仅保护Ubuntu,而对虚拟机内部的体验没有进一步的保护?

英文原文

A couple of sources vaguely suggest that running a Windows virtual machine inside Linux provides added (online) security.

Are VMs more secure than containers?

Fight ransomware by running Windows in Linux as a virtual machine

Apart from protecting the Linux system from threats that occur inside the VM, are there any other added security benefits to running an operating system (Windows or otherwise) in a VM in Ubuntu? Or is the user just as vulnerable to online threats as they would otherwise be running that same OS outside of the VM?

Essentially, is the VM only protecting Ubuntu and adding no further protection to the experience inside the VM?

     
     
     

回答列表

9
 
vote
vote
最佳答案
 

正确的是,VM保护运行的计算机,而不保护虚拟机本身。好处来自拥有虚拟机的干净克隆,因此,如果虚拟机损坏了,您可以销毁它,然后从头开始加载干净克隆的副本。

 

Correct, the VM protects the machine it is running on, but not the virtual machine itself. The benefit comes from having a clean clone of your virtual machine so that if the virtual machine becomes corrupt, you can destroy it, load a copy of the clean clone ans start all over.

 
 
   
   
7
 
vote

这里有几个不同的概念。

首先,该来源将在容器中运行的应用程序与在VM中运行的应用程序的安全性进行了比较。

容器可以很简单地描述为VM的轻量级替代方案,在该方案中,容器中的应用程序与容器外部的应用程序是隔离的,但是它们在同一内核上运行。因此,不可能在容器中运行其他操作系统,例如Linux中的Windows。

另一方面,VM可以模拟一台计算机,您可以在该计算机上安装所需的任何操作系统(尽管有些VM技术可以加速某些来宾操作系统)。

第二个问题是,Linux计算机上的来宾VM中的Windows是否比在计算机本身上运行的Windows更安全,并且答案可能是否定的,至少不是以这种方式计算的。尽管您可以放心,虚拟机内部没有任何东西可以损害主机系统,但是恶意进程仍然可以对虚拟机内部造成很多损害,包括破坏虚拟机中的文件,发起基于网络的攻击,传播垃圾邮件和蠕虫,等等。在VM中运行操作系统并不能代替确保其安全性并保护其免受恶意代码攻击,而且效果不佳。

 

There are a couple of different concepts here.

Firstly, the source that is comparing the security of running applications in a container, versus running them in a VM.

Containers could be described very simply as a lightweight alternative to a VM, in which applications in a container are isolated from applications outside the container, but they run on the same kernel. Therefore, it's not possible to run a different operating system in the container, such as Windows within Linux.

A VM on the other hand emulates a machine on which you could install any operating system you like (though there is some VM technology which can accelerate certain guest operating systems).

The second issue is whether Windows in a guest VM on a Linux machine is any more secure than Windows run on a machine itself, and the answer is probably no, at least not in the ways that count. While you are probably safe that nothing inside the VM can harm the host system, there is still a lot of damage that a malicious process could do inside the VM, including destroying files in the VM, launching network based attacks, spreading spam and worms, and so on. Running an operating system in a VM is not a substitute for ensuring it is secure and protecting it from malicious code, and is not very effective.

 
 
   
   
1
 
vote

是的,除了"仅" 以外,您还有其他保护措施来保护主机。想法是,在VM内,您仅安装/配置该特定VM所需的最少数量的功能(无论安装了哪些程序包,网络配置等)。

此外,您还可以获得防火墙规则更具表现力的功能(您可以从网络角度微调VM中运行的应用程序可以执行的操作)。例如,您可以拥有一个专门用于在线银行业务的虚拟机;这只会安装您的在线银行软件,并且VM的IP的唯一防火墙条目就是您银行的IP。这不会保护您的主机系统,但会保护您的在线银行"经验" 免受您可能在其他VM或主机上安装的任何其他软件包的影响-它们很难劫持您的会话,依此类推(具体取决于这一切)从技术上讲,显然,仅以此为例。

您将以无法从外部连接到该虚拟机以及无法从该虚拟机连接到其他任何东西(银行服务器除外)的方式配置此虚拟机。它无法访问硬件,也无法满足USB即插即用的请求等。

这与通常通过容器化获得的安全性相同,例如在微服务应用程序中,一切都在其自己的(Docker)容器中运行。

 

Yes, you do have additional protection except "only" to protect the host. The idea is that inside the VM, you install/configure only the very least amount of features (whatever those may be - be it installed packages, network configuration etc.) that you need for that particular VM.

Also, you get a bit more expressive power for firewall rules (you can fine-tune what applications running inside the VM can do, network-wise). For example, you can have a VM specifically for your online banking; this would only have your online banking software installed, and the only firewall entry for the VM's IP would be the one to your bank. This does not protect your host system, but protects your online banking "experience" from any other package you may have installed on other VMs or the host - they have a harder time hijacking your session, and so on (depending on how this all is implemented technically, obviously, just take this as an example).

You would configure this VM in a way that would make it impossible to connect to it from the outside, and impossible to connect out from the VM to anything else (except for your banking server). It would not have general access to hardware, would not honor USB-plug&play requests, etc. etc.

This is the same kind of security you get by containerization in general, for example in microservice applications where everything is running in its own (Docker) container.

 
 

相关问题

2  qemu-system-x86_64命令挂起  ( Qemu system x86 64 command hangs ) 
我想通过运行以下命令序列使用KVM / QEMU创建VM。当我执行 qemu-system-x86_64 命令时,该命令会无限期地挂起。有人可以告诉我我在哪里犯错吗? wget http://ftp.tu-clausthal.de/pub/mirror/ubuntu/releases/14.04/ubuntu-1...

0  KVM中支持的设备仿真的列表在哪里?  ( Where is the list of supported device emulations in kvm ) 
我正在使用virsh edit在libvirt下配置来宾VM。 VM中运行的内核的来源是嵌入式安全设备,我无法控制其附带的驱动程序。特别是,它似乎无法识别NIC的 virtio 驱动程序,因此我正在使用 e1000 仿真,如下所示: <interface type='bridge'> <mac address...

0  安装virtualbox-guest-x11后,ubuntu不显示其GUI界面  ( Ubuntu does not show its gui interface after installing virtualbox guest x11 ) 
我试图在Windows Virtualbox上使用我的Ubuntu。参考此页面( http http://lifehacker.com/how-to-dual-boot-and-virtualize-the-same-partition-on-y-493223329 ),我设法在Virtualbox上将Ubuntu作...

0  无法打开配置文件:/etc/xen/guest4.cfg  ( Unable to open config file etc xen guest4 cfg ) 
我已经在VirtualBox上安装了XEN虚拟机管理程序。我要创建虚拟机。我遵循了所有步骤,但是最终我尝试使用最后一步来创建VM: root@ubuntu:~# sudo xm create /etc/xen/guest4.cfg -c Error: Unable to open config file: /et...

37  如何在Ubuntu中运行Windows XP  ( How to run windows xp inside ubuntu ) 
只有Windows上有几个程序可用。 酒会带来负面影响,因此我想使用虚拟机在Ubuntu中运行Windows。看来Virtualbox是标准方式,但我对此没有任何经验。 ...

72  如何安装Internet Explorer(多个版本)?  ( How to install internet explorer multiple versions ) 
我正在开发一个在Rails中具有聊天功能的站点。我正在使用Ubuntu 12.04 LTS。我需要检查该站点是否为IE9,因为使用HTML5套接字io的聊天功能。我想知道如何在Ubuntu中安装IE9。我看过Chrome和Firefox扩展程序,但是如果有独立版本,请给我建议。 ...

0  KVM / Spice / Remote-Viewer:需要协助,对USB重定向进行故障排除  ( Kvm spice remote viewer need assistance troubleshooting usb redirection ) 
最下面的底线:我无法将USB从桌面重定向到VM。 " USB Device Selection" (USB设备选择)在Remote-Viewer中始终显示为灰色,并在全屏显示"未编译USB重定向支持" 。 详细信息: 主机KVM服务器是Ubuntu Server 14.04,我已经安装了qemu-kvm(kvm -v...

6  虚拟机上的Lubuntu :(最小)磁盘空间要求?  ( Lubuntu on virtual machine minimum disk space requirements ) 
最小系统 要求 为 Xubuntu (...) 5 GB 的磁盘空间 使用 Lubuntu ,您可以使用内存 更少的计算机。 我将上述内容读为Xubuntu 和 Lubuntu ,它们都需要最少 5 GB 的可用磁盘空间。出于争论的缘故,我们可以说,常规,非虚拟安装Lubuntu的可用...

66  如何在virt-manager中最大化全屏显示?  ( How do i unmaximize full screen view in virt manager ) 
在virt-manager中为虚拟机激活全屏视图后,没有明显的方法可以取消全屏显示。有什么想法吗? ...

3  如何在Maverick上安装Parallels Guest Tools?  ( How do i install parallels guest tools on maverick ) 
我正在Parallels 6 VM中试用Maverick,并在使用来宾工具的安装脚本时遇到了一些麻烦: Start installation or upgrade of Guest Tools Installed Guest Tools were not found Perform installation in...

5  Ubuntu 16.04上的VMWare Workstation Pro 12无法编译vmmon  ( Vmware workstation pro 12 on ubuntu 16 04 cannot compile vmmon ) 
我已经在Ubuntu 16.04(双展位)中安装了没有问题的VMware软件包。当我尝试运行它并尝试进行编译时,它会生成以下日志,无法编译vmmon: ... 2016-08-15T16:13:39.909+02:00| vthread-4| I125: Successfully extracted the vm...

1  如何在VNC客户端上连接到非默认显示(:1)  ( How to connect on vnc client to non default display 1 ) 
上下文 我正在与朋友一起在远程服务器上运行虚拟机,并使用VNC连接到该虚拟机。 由于他在 :0 显示屏上已经有一个虚拟机,因此他将自己的虚拟机放在 :1 显示屏上。 问题 我尝试使用各种VNC客户端( remmina , tightvnc , krdc )连接到计算机,但似乎都无法连接到除 :0 以外的其他显示器...

13  virt-install表示名称正在使用中,但virsh列表-全部为空。 virt-install在哪里找到这个名字?  ( Virt install says name is in use but virsh list all is empty where is virt i ) 
virt-install表示正在使用名称,但virsh列表-全部表示什么都没有。 jrwren@delays:{%22}~ $ virt-install -d -n android -r 512 --disk android.qcow2 -s 4 -c /d/cd images/android-x86-2.2-...

5  卸载virtualbox-4.1后如何使用Ubuntu提供的virtualbox软件包?  ( How to use ubuntu provided virtualbox package after uninstalling virtualbox 4 1 ) 
我已按照Oracle网站上的说明安装了Oracle Virtualbox,但切换回Ubuntu标准版本后无法使用XP或Ubuntu VM。 要切换回去,我已经编辑/etc/apt/sources.list来删除Oracle存储库,做了 abcdefghijklmnnabcdefghijklmn0 ,使用Ubuntu ...

125  如何为Virtualbox设置USB?  ( How to set up usb for virtualbox ) 
我正在使用Ubuntu Maverick和Virtual Box 3+。我有Windows 7 Ultimate。问题在于,它在Windows 7中无法检测到USB驱动器,但是USB外围设备(鼠标+键盘)可以正常工作。 我遵循了这些说明,但是找不到用户组 vboxusers 。我该如何继续?我也想升级到最新版本,而没...

2  通过Virt.manager 0.8.5 / Qemu / KVM从Windows XP访问主机LVM分区  ( Accessing host lvm partition from windows xp through virt manager 0 8 5 qemu ) 
请求的用例是让Windows XP SP3来宾在64位Ubuntu中运行。 (Linux pcs 2.6.35-22-server#35-Ubuntu SMP Sat Oct 16 22:02:33 UTC 2010 x86_64 GNU / Linux) 我希望该访客访问Ubuntu磁盘上的LVM LV。 我已经设...

2  如何在Qemu虚拟机中安装Ubuntu Trusty 14.04  ( How to install ubuntu trusty 14 04 in a qemu virtual machine ) 
我正在运行qemu版本为1:2.1 + dfsg-11的Debian Jessie amd64,并希望在qemu虚拟机中为amd64安装Ubuntu 14.04。但是由于尝试运行init时发生内核崩溃,因此无法开始安装过程。重现步骤: $ wget http://ftp.tu-clausthal.de/ftp/m...

5  使用虚拟机(例如VMware,Virtualbox)运行ubuntu是否与不使用虚拟机正常运行一样? (明智的功能和经验)  ( Is running ubuntu with a virtual machine like vmware virtualbox same as just ) 
我的意思不是明智的表现,也不是明智的硬件。任何好的配置PC都可以在VM上运行它们。 我指的是明智的功能,n的经验是明智的。 有人能够像在VM中一样正常安装和运行Ubuntu linux应用程序,因为它们可以在单独的引导安装的ubuntu中工作吗? 又如何在VM的ubuntu中安装和运行linux应用? 我的意思是在基...

0  ubuntu-kvm-builder失败,并显示“ / dev / mapper / loop0p1不存在”  ( Ubuntu kvm builder failing with dev mapper loop0p1 does not exist ) 
使用ubuntu 15.10, 我只是尝试使用kvm创建VM,并遵循Web上的一些说明,但没有成功。当运行 mkfs.ext4 并出现以下错误时,它似乎失败: The file /dev/mapper/loop0p1 does not exist and no size was specified. 我已经安装了...

8  从隐私的角度来看,在Windows 10上使用Ubuntu VM是否安全?  ( Is it safe to use an ubuntu vm on windows 10 from a privacy perspective ) 
我的问题基本上在标题中-我们都知道Windows 10附带的遥测废话以及关于NSA监视每个人的信息。考虑到所有这些东西,(从隐私的角度来看)使用VM使用Linux是否安全? Windows能够从我的VM收集数据吗?或者它基本上与Linux作为主机OS相同? 这对您来说似乎很偏执,但是我觉得这是我必须要确保的事情。我不...

0  如何在Ubuntu 12.10中安装Parallels Workstation?  ( How to install parallels workstation in ubuntu 12 10 ) 
是否可以在最新的ubuntu 12.10上安装并行工作站? ...

6  在VMware Workstation中从USB引导  ( Booting from usb inside vmware workstation ) 
我正在尝试使用可引导的USB记忆棒在VMware Workstation虚拟机中安装Windows 7,但是VMware BIOS无法检测到该记忆棒,因此无法从其中进行引导。该摇杆非常适合将Windows直接安装到HDD上(我已经完成了),因此那里没有问题,并且VMware可以识别该摇杆,因为我可以选择断开它。 ...

7  如何通过虚拟化运行Windows 8?  ( How do i run windows 8 via virtualization ) 
我想在Ubuntu下的虚拟机中运行Windows 8。 我对VMware的快速尝试失败了。 有没有人接触过要在Ubuntu上运行Windows 8? ps:Microsoft刚刚发布了Windows 8的公开预览-请参见 http://dev.windows.com ...

14  如何在Libvirt / qemu-kvm中禁用不需要的iPXE引导尝试?  ( How do i disable unwanted ipxe boot attempt in libvirt qemu kvm ) 
以某种方式升级到12.04之后,我的虚拟机始终在引导时尝试首先从网络引导。看到这个: 我没有设置任何PXE配置: 我尝试过: 通过编辑XML,通过将 emulator 从 /usr/bin/kvm 从 /usr/bin/kvm-spice 更改为来禁用SPICE。 Ctrl + B 来配置iPX...

17  如何在LXC容器和主机之间共享目录?  ( How do i share a directory between an lxc container and the host ) 
如何在主机系统(ubuntu 14.04)和ubuntu lxc容器之间共享文件夹? 我尝试将文件夹安装在主机上 lspci | grep Wireless9 但是我看不到任何文件。 同样适用于: lspci -nnk | grep 0280 -A20 我需要更改共享文件夹的权限吗? ...

相关问题

2  qemu-system-x86_64命令挂起 
0  KVM中支持的设备仿真的列表在哪里? 
0  安装virtualbox-guest-x11后,ubuntu不显示其GUI界面 
0  无法打开配置文件:/etc/xen/guest4.cfg 
37  如何在Ubuntu中运行Windows XP 
72  如何安装Internet Explorer(多个版本)? 
0  KVM / Spice / Remote-Viewer:需要协助,对USB重定向进行故障排除 
6  虚拟机上的Lubuntu :(最小)磁盘空间要求? 
66  如何在virt-manager中最大化全屏显示? 
3  如何在Maverick上安装Parallels Guest Tools? 
5  Ubuntu 16.04上的VMWare Workstation Pro 12无法编译vmmon 
1  如何在VNC客户端上连接到非默认显示(:1) 
13  virt-install表示名称正在使用中,但virsh列表-全部为空。 virt-install在哪里找到这个名字? 
5  卸载virtualbox-4.1后如何使用Ubuntu提供的virtualbox软件包? 
125  如何为Virtualbox设置USB? 
2  通过Virt.manager 0.8.5 / Qemu / KVM从Windows XP访问主机LVM分区 
2  如何在Qemu虚拟机中安装Ubuntu Trusty 14.04 
5  使用虚拟机(例如VMware,Virtualbox)运行ubuntu是否与不使用虚拟机正常运行一样? (明智的功能和经验) 
0  ubuntu-kvm-builder失败,并显示“ / dev / mapper / loop0p1不存在” 
8  从隐私的角度来看,在Windows 10上使用Ubuntu VM是否安全? 
0  如何在Ubuntu 12.10中安装Parallels Workstation? 
6  在VMware Workstation中从USB引导 
7  如何通过虚拟化运行Windows 8? 
14  如何在Libvirt / qemu-kvm中禁用不需要的iPXE引导尝试? 
17  如何在LXC容器和主机之间共享目录? 



© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有