একটি ভার্চুয়ালবক্স মেশিন সম্পূর্ণরূপে বিচ্ছিন্ন করুন

17

আমি ভার্চুয়ালবক্সটি এমন কিছু সফটওয়্যার ইনস্টল করতে ব্যবহার করতে চাই যাতে আমার হোস্ট কম্পিউটারে (এবং তদ্বিপরীত) অ্যাক্সেস না থাকা উচিত। তবে আমি আরও "বিপজ্জনক" জিনিসগুলি চেষ্টা করার সম্ভাবনাটিও কল্পনা করেছিলাম, যেমন শূন্য-দিনের শোষণ চালানোর চেষ্টা করা এবং তারা কী করতে পারে তা দেখুন।

হোস্ট থেকে কোনও ভার্চুয়াল মেশিন কীভাবে বিচ্ছিন্ন করা যায়? অতিথি এবং হোস্টের মধ্যে ফায়ারওয়াল স্থাপন করা উচিত (বা আমি করতে পারি?)? অতিথি অ্যাড-অনগুলি কি সুরক্ষা ঝুঁকিপূর্ণ? ভাগ করা ডিরেক্টরি সম্পর্কে কি?

এখনই, অতিথি মেশিনটি জিএনইউ / লিনাক্স ডেবিয়ান পরীক্ষা চালাচ্ছে।

security  virtualbox 
giusti
সূত্র
7
আপনি বিস্তারিত সুরক্ষা প্রশ্ন জিজ্ঞাসা করতে চাইলে স্ট্যাক এক্সচেঞ্জের একটি তথ্য সুরক্ষা গোষ্ঠী রয়েছে।
সাইবারনার্ড
সেকেন্ডিং @ সাইবারনার্ড এখানে। কিছুটা ঝাঁকুনির পরে, এটি সিকিউরিটি.এসইর জন্য একটি অত্যন্ত উপযুক্ত প্রশ্ন হবে, ধরে নিবেন এটি কোনও সদৃশ নয় (যা আমি তাদের সম্প্রদায়ের বৃদ্ধির কারণে ভয় পেতে পারি)।
0xdd
1
আপনার ভার্চুয়ালবক্স ব্যবহার করা উচিত নয়, কারণ এটি কার্নেল মডিউলটির মাধ্যমে আপনার সিস্টেমের সাথে যোগাযোগ করে যা খাঁটি ইউজারস্পেস বাস্তবায়নের চেয়ে অনেক বেশি ঝুঁকিপূর্ণ। এবং বিশেষত ভার্চুয়াল বক্স কার্নেল মডিউলটিকে কার্নেল বিকাশকারীরা ক্রেপ হিসাবে বিবেচনা করে । আরও ভাল পছন্দ হ'ল কিউমু-র মতো কিছু এমুলেটর যা একটি অনিবদ্ধ ব্যবহারকারী হিসাবে চলছে যা আকর্ষণীয় এবং ফায়ারওয়াল নিয়মের কোনও ব্যবহার নেই যা সেই ব্যবহারকারীর জন্য নেটওয়ার্ক অ্যাক্সেসকে বাধা দেয়। (মন্তব্য হিসাবে পোস্ট যেমন সরাসরি VirtualBox সংক্রান্ত প্রশ্নের উত্তর না)
Allo

উত্তর:

36

আমি এই কথাটি বলতে শুরু করব যে এই প্রশ্নের খুব বিস্তৃত এবং খুব সামান্য মূল গবেষণা দেখায়, এবং এই উত্তরটি সেই ধরণের প্রশ্নের উত্সাহ হিসাবে দেখা উচিত নয়। পরিবর্তে, এই উত্তরটি ম্যালওয়্যার বিশ্লেষণ দিয়ে শুরু করা লোকদের জন্য কিছু অত্যন্ত প্রাথমিক সুরক্ষা টিপস সরবরাহ করবে বলে আশাবাদী।

আপনি পরিচিত, পূর্ব-গবেষণা ম্যালওয়্যার চালিয়ে যাচ্ছেন, এই ধারণাটির অধীনে কাজ করা, আপনি কীভাবে আপনার পরিবেশকে বিচ্ছিন্ন করবেন সেই ম্যালওয়ারটি কীভাবে সক্ষম তা নির্ভর করে depends বেশিরভাগ আধুনিক ম্যালওয়্যারের ক্ষেত্রে প্রযোজ্য কিছু সাধারণ বিধিগুলি হ'ল:

  • ইন্টারনেট থেকে আপনার ভিএম বিচ্ছিন্ন করুন। এটি অতিথির মেশিনে ইন্টারফেস ফরওয়ার্ডিং সেটআপ না করার মতোই সহজ হতে পারে এবং ম্যালওয়্যারটিকে কোনও সম্ভাব্য কমান্ড-কন্ট্রোল নোডের সাথে যোগাযোগ করা থেকে বিরত রাখে যেগুলি এটি অপ্রত্যাশিতভাবে কাজ করতে পারে।

  • উপযুক্ত হাইপারভাইজার ব্যবহার করুন। ভার্চুয়ালবক্স, হাইপারভি, কিউইএমইউ এবং ম্যাকোস সহ কয়েকটি বাজারে বাজারে কয়েকটি প্রধান রয়েছে Hypervisor.framework; এর মধ্যে কয়েকটি ম্যালওয়্যার দ্বারা সক্রিয়ভাবে লক্ষ্যবস্তু হয়েছে এবং সংস্করণটির উপর নির্ভর করে অতিথি মেশিনটি ম্যালওয়্যারটি ভেঙে ফেলার সম্ভাবনা হতে পারে।

  • অবশ্যই অতিথি সংযোজনগুলি বা অন্য কোনও প্ল্যাটফর্মের অ্যানালগ ইনস্টল করবেন না । এই ধরণের সফ্টওয়্যারটির আক্ষরিক লক্ষ্য হ'ল অতিথি এবং হোস্টের মধ্যে সংহতকরণ স্থাপন করে কার্যকরভাবে তাদের মধ্যে পৃথকীকরণকে দুর্বল করে তোলা। আমি কোনও ম্যালওয়্যার গবেষক নই, তবে বিশেষত এই ধরণের পৃষ্ঠকে লক্ষ্য করে এমন ম্যালওয়্যার না থাকলে আমি অবাক হব।

আপনার কিছু পয়েন্ট সরাসরি সম্বোধন করতে:

হোস্ট থেকে কোনও ভার্চুয়াল মেশিন কীভাবে বিচ্ছিন্ন করা যায়?

এই মুহুর্তে, একটি ভিএম পুরোপুরি আলাদাভাবে বিচ্ছিন্ন করা যেতে পারে তবে কিছু ফাংশন এখনও কম হাইপারভাইজার সুরক্ষা সহ হোস্টের আরও কম-বেশি সরাসরি যেতে হয়। সরাসরি ব্যাট বন্ধ, বেশিরভাগ নন-কেভিএম ভার্চুয়াল মেশিনগুলি (ভার্চুয়ালবক্সের মতো) হোস্ট ওএসের সাথে কোনও কার্নেল ভাগ করবে না । এটি একা একা অসংখ্য শোষণ শ্রেণীর বিরুদ্ধে ব্লকার হিসাবে কাজ করে, বিশেষত উল্লেখযোগ্যভাবে আপনার হোস্ট কার্নেলের বিরুদ্ধে স্বেচ্ছাসেবীর চালনা করার ক্ষমতাকে অবরুদ্ধ করে (উল্লেখযোগ্য নক্ষত্রের সাথে যে একটি ভাঙ্গা ভিএম স্তর বাস্তবায়ন ম্যালওয়্যারকে কম স্পষ্ট উপায়ে এটি পেতে পারে)।

আপনার ভিএম এখনও আপনার হোস্ট মেশিনের হার্ডওয়্যার মধ্যে একটি প্রক্রিয়া স্থান আছে, যদিও - এবং যদিও এটি সাধারণত ঝুঁকি নয় কারণ আধুনিক ওএসগুলি শালীন প্রক্রিয়া স্থান বিচ্ছিন্নতা প্রদান করে, তবুও এটি রোউমহারের মতো অত্যন্ত নিম্ন-স্তরের আক্রমণগুলি কাজে লাগাতে ব্যবহার করা যেতে পারে , যেখানে কোনও প্রক্রিয়া ক্রমানুসারে একটি নির্দিষ্ট উপায়ে স্মৃতিতে লিখিত হয় যতক্ষণ না এটি তার নিজস্ব সংযুক্ত মেমরি ব্লকগুলি পড়তে পারে - কার্যকরভাবে প্রক্রিয়াগুলির মধ্যে মেমরি ফাঁসকে অনুমতি দেয়।

এছাড়াও লক্ষণীয় যে বিচ্ছিন্নতা কিছুটা দূরে চলে যায় যখন আপনি মূলত কোনও ধরণের আই / ও করতে চান: ইনপুট এবং আউটপুটটির অগত্যা পাসথ্রু অর্থ, যা আক্রমণের পৃষ্ঠকে বহিঃপ্রকাশ করে যা হোস্ট ক্রিয়াগুলি সম্পাদন করতে পারে। এটিতে মাউস এবং কীবোর্ডের মতো এইচআইডি পাসস্ট্র্রু পাশাপাশি নেটওয়ার্ক পাস্ত্রথ্রের মতো জিনিসও অন্তর্ভুক্ত রয়েছে - যদিও এটি সাধারণত আপনার ভিএম-তে I / O পাসস্ট্র্রুটি কার্যকরভাবে প্রয়োগ করা হয় তার উপর নির্ভরশীল।

অতিথি এবং হোস্টের মধ্যে ফায়ারওয়াল স্থাপন করা উচিত (বা আমি করতে পারি?)?

এটি নির্ভর করে তবে এটি সাধারণত কোনও খারাপ ধারণা নয় । বেশিরভাগ বড় প্ল্যাটফর্মগুলি হাইপারভাইজার স্তরের ফায়ারওয়াল সমর্থন করে। এগুলি হল সর্বাধিক হোস্ট মেশিনে ফায়ারওয়াল, যেটা ঘুরে ফিরে হিসাবে প্রশ্রয়ের যেমন সর্বাধিক আপনার LAN এর বা VLAN ফায়ারওয়াল হিসাবে প্রশ্রয়ের হিসাবে। আপনি যদি ভার্চুয়াল নেটওয়ার্ক ইন্টারফেসগুলি সংযোগ বিচ্ছিন্ন করে নেটওয়ার্ক অ্যাক্সেস পুরোপুরি কেটে দেওয়ার পরিবর্তে এটির সুবিধা অর্জন করতে চান, তবে আমি আপনার নির্বাচিত ম্যালওয়্যার লক্ষ্যগুলি কোন বন্দরগুলি এবং হোস্ট করে সেখান থেকে যাওয়ার বিষয়ে গবেষণা করার পরামর্শ দেব।

অতিথি অ্যাড-অনগুলি কি সুরক্ষা ঝুঁকিপূর্ণ?

হ্যাঁ । এগুলি আপনার হোস্ট মেশিন এবং অতিথি মেশিনের মধ্যে সমস্ত ধরণের সংহতকরণের অনুমতি দেয় এবং সর্বদা উন্মুক্ত চশমাগুলিকে বৈশিষ্ট্য দেয় না যেখানে আপনি কী খুলতে পারেন তা দেখতে পাবেন; উপরে দেখুন.

ভাগ করা ডিরেক্টরি সম্পর্কে কি?

এটি আপনি কীভাবে করছেন তার উপর নির্ভর করে তবে এটি প্রায়শই খারাপ ধারণা । অনেক হাইপারভাইজাররা অতিথি মেশিনের মধ্যে মাউন্ট করা একটি ভার্চুয়াল ড্রাইভ তৈরি করে এটি করেন যার মূলটি সেই ডিরেক্টরিতে রয়েছে। ফ্রেমওয়ার্কগুলির মধ্যে কিছুটা পরিবর্তিত হতে পারে, সেই প্রক্রিয়াটি বাস্তবায়নের উপর নির্ভর করে আপনি কোন ম্যালওয়্যারটি পরীক্ষা করার চেষ্টা করছেন তার উপর নির্ভর করে আপনি নিরাপদ থাকতে পারেন বা নাও থাকতে পারেন।

আমার উদ্বেগ হ'ল আপনি এ সম্পর্কে খুব কম গবেষণা করেছেন এবং আপনার মেশিন বা আপনার ডেটা ক্ষতি করতে পারে। আপনি চালিয়ে যাওয়ার আগে, আমি আপনাকে সাধারণ অপারেটিং সিস্টেমের (KVMs, তারা কিভাবে উচ্চ স্তরের ভার্চুয়ালাইজেশন অবকাঠামো (সাথে সংহত বিভিন্ন বিচ্ছিন্নতা মেকানিজম দেখব জন্য পরামর্শ দিতে চাই ভার্চুয়াল-মেশিন ), পাত্রে ( ধারক ), এবং chrootপ্রক্রিয়া ( chroot ) নামের কয়েকটি), যখন প্রত্যেকে উপযুক্ত হয় এবং তারা কী করতে পারে এবং করতে পারে না। এই মুহুর্তে, আপনি যথাযথ-বিচ্ছিন্ন পরিবেশে আপনি নিরাপদে ম্যালওয়ারের সাথে খেলতে পারবেন কিনা সে সম্পর্কে আপনি আরও ভাল বিচার করতে পারবেন।

শেষ অবধি, নতুন বা স্বল্প-পরিচিত ম্যালওয়ারের সাথে কাজ করার চেষ্টা করার সাথে আপনাকে জড়িত হওয়া উচিত নয় (যদি না আপনি পাকা সুরক্ষা গবেষক হন, তবে এই উত্তরটি প্রশিক্ষিত সুরক্ষা গবেষকদের লক্ষ্য নয়)। ক্ষতিকারক অভিনেতারা অত্যন্ত সৃজনশীল হয় যখন এটি আসে যে তারা কীভাবে শোষণ করে এবং কীভাবে তারা এটি ব্যবহার করে। এ সম্পর্কে ধারণা পেতে, সাম্প্রতিক যে কোনও ডিএফসিএন আলোচনাটি দেখুন যা সামাজিক প্রকৌশলকে কেন্দ্র করে নয় বা যান্ত্রিক উপায়ে শারীরিক অ্যাক্সেস লাভ করে না।

0xdd
সূত্র
3
আমি মনে করি না কেভিএম এবং ভার্চুয়ালবক্স / ভিএমওয়্যার / ... এর মধ্যে নীতিগতভাবে বিচ্ছিন্নতার ক্ষেত্রে অনেক পার্থক্য রয়েছে কারণ তাদের সকলের জন্য কার্নেল মডিউল সমর্থন প্রয়োজন এবং হার্ডওয়্যার-সহিত ভার্চুয়ালাইজেশন ব্যবহার করা উচিত। সম্ভবত আপনি পাত্রে / ডকার বলতে চাইছেন? এটি বলেছিল যে তর্কযুক্ত শুদ্ধ কিমু শোষণ কেবল ব্যবহারকারী স্পেসে হবে তবে আজকাল এটি সম্ভবত কেভিএমের তুলনায় খুব কম পরীক্ষা-নিরীক্ষা করেছে (ফ্লপি ড্রাইভের শোষণও দেখুন) তবে কেভিএম বা কিউমু কার্নেলের মধ্যে সরাসরি সিস্টস্কলের অনুমতি দেয় না কিন্তু উভয়ই পরোক্ষ অনুমতি দেয় (ভার্চুয়ালাইজেশন বা প্যারা-ভার্চুয়ালাইজেশনের মাধ্যমে) ।
ম্যাকিয়েজ পাইচোটকা
@ ম্যাসিজেপিচোটকা আমার ভুল, এটি ভুলভ্রান্ত ছিল। আমি উত্তর আপডেট করেছি, তবে এটি আনার জন্য ধন্যবাদ!
0xdd
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.