Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Virtuelle Sandbox sperrt Anwendungen ein

Die Einsatzmöglichkeiten für Libvirt-sandbox sind zahlreich. Daniel Berrange führte in seinem Vortrag beispielsweise die Möglichkeit an, Server-Anwendungen wie Apache rein virtuell zu hosten oder RPM-Pakete in einer isolierten Umgebung zu bauen. Auch auf Anwenderseite sind Einsatzszenarien vorstellbar, etwa das Verarbeiten nicht vertrauenswürdiger Multimedia-Streams oder das Einsperren des gesamten Web-Browsers in den virtuellen Sandkasten. Das brächte etwa beim Online-Banking den Vorteil, dass der Rechner während der Dauer der Banking-Session von übrigen Internet-Aktivitäten isoliert bliebe.

Bildschirmausgaben aus der VM an das Host-System lassen sich außer mit VNC bei Fedora auch via "Spice" erledigen, das seit dem Kauf von Qumranet durch Red Hat im Jahr 2008 auch in Fedora verfügbar ist. Die Libvirt-Sandbox ist laut Daniel Berrange flexibler einsetzbar als die bereits seit dem Jahr 2009 in RHEL und Fedora verfügbare SELinux-Sandbox.

Apropos SELinux: Dies ist in der in Fedora 17 enthaltenen Version in der Lage, Prozessen zu verbieten, mithilfe des Funktionsaufrufes »ptrace« (Process Trace) den Speicher anderer Prozesse zu analysieren, ähnlich wie beim im aktuellen Kernel 3.4 enthaltenen Security Modul Yama. Allerdings muss der Admin das Feature mit »setsebool -P deny_ptrace 1« explizit einschalten. Weitere Einzelheiten zu Virtsandbox finden sich im Fedora-Wiki [8] . Ferner unterstützt Virt-Manager in Fedora 17 auch das Durchreichen von USB-Geräten.

Fedora 17 enthält als erste freie Distribution das Virtualisierungs-Managementsystem Ovirt in Version 3.0.0, das nun nicht mehr als Vorabversion gilt [7] . Eine aktuellere Version findet sich auch auf der Ovirt-Projektseite [8] nicht, und schneller als mit Fedora 17 lässt sich die Lösung kaum testen. Mit Ovirt hat Red Hat seit einiger Zeit eine Java-basierte Verwaltungsoberfläche für seine Enterprise Virtualisierung in Arbeit, die insbesondere beim eigenen RHEV das bisher fehlende Puzzleteil darstellt, um Red Hats Virtualisierung-Stack ohne Hilfe einer Windows-Maschine administrieren zu können.

VM-Management jetzt ohne Windows

Was absurd kling, hat einen konkreten Hintergrund, denn Red Hat hat im Jahr 2008 nicht nur den vom israelischen KVM-Spezialisten Qumranet entwickelten KVM-Hypervisor übernommen, sondern in der Hoffnung, sich mit einer eigenen Technologie gegen die etablierten Virtualisierungsanbieter VMware und Citrix positionieren zu können, auch gleich die ganze Firma samt ihres bereits fast fertig entwickelten Desktop-Virtualisierungs-Produktes gekauft. Dummerweise enthielt das Qumranet-Produkt auch einige lästige Abhängigkeiten von .NET und Active Directory, die Linux-Admins bisher ein Dorn im Auge waren.

Erst mit der Ende 2011 veröffentlichten Version 3.0 von RHEV hatten es die Red- Hat-Entwickler geschafft, das Management-Tool von C# auf Java zu portieren, sodass die Software jetzt mit einem JBoss als Applikationsserver läuft. Ovirt eignet sich nicht nur für den Zugriff auf RHEV-Plattformen, sondern eignet sich zur Verwaltung aller Virtualisierungslösungen, die auf KVM basieren. Dazu muss auf virtuellen Desktops und Servern, die via Ovirt administrierbar sein sollen, ebenso wie auf dem Hypervisor zusätzlich zur Libvirt die Ovirt-Komponente VDSM installiert sein.

Abbildung 4: Neu in Fedora 17: oVirt, das Management-Tool für auf KVM basierende Virtualisierungsumgebungen.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023