Bir vmware ana bilgisayarı hakkında hangi bilgiler misafir tarafından kullanılabilir?

İçinde vmware Workstation, ana bilgisayar yazılımı ve donanımı hakkında hangi bilgiler konuk işletim sistemi tarafından kullanılabilir.

Uygulamamın amaçları için, konuk işletim sisteminde ana bilgisayarın çalıştığı fiziksel donanım hakkında bilgi alan bir işlemden endişe duyuyorum. Bu seri numaraları, MAC adresleri veya çalıştırılan bilgisayarı fiziksel olarak tanımlayabilecek herhangi bir şey gibi ayrıntıları içerebilir.

Hem sunucu hem de konuk Ubuntu Linux çalıştıracak.

Düzenle: vmware-toolskonuk üzerine kurulacak

Düzenleme 2: Ödül ekleme

Bu soru hakkında çok araştırma yaptım ve cevapların çoğunda "olmamalı" gibi kelimeler var. Bir vmware konuk aşağıdaki öğelerin hiçbirini göremiyorum, bir dereceye kadar kesinlik ile bilmek gerekir (Bu şeyler konuk için kullanılabilir olsaydı, büyük bir güvenlik ihlali olarak kabul edilir)

• herhangi bir donanım seri numarası
• ana bilgisayar ağ arabirimlerinin mac adresleri
• vmware yazılımının seri numarasını kaydetme
• ana bilgisayar işletim sistemindeki dosyalar

Bu sorunun motivasyonu, son derece güvenilir olmayan bir yazılım çalıştırmam gerektiğidir ve kimliğimi açığa vurabilecek herhangi bir bilgiden uzak tutmak istiyorum. Örneğin, bu yazılımın işlemcilerimin seri numarasını okumaya ve yaratıcısına geri bildirmeye çalışacağını ve bunun gerçek dünya kimliğime geri dönüşe neden olabileceğini varsayıyorum. İsterseniz bu paranoyak olarak adlandırın. Benim durumumdan bir kısmı vmware-tools yüklü olmasını gerektirir.

Bir ev sahibiyle ilgili bilgiler bir konuğa farklı yollarla sızabilir. VMware (ve genel olarak sanallaştırma ürünleri) birçok şeye karşı koruma sağlar. Tam bir izolasyon ortamı sağlayabilme olasılığı düşük olsa da, muhtemelen oldukça iyi bir iş çıkarır. Örneğin, bazı virüs araştırmacıları , kötü amaçlı yazılımların davranışlarını incelemek için güvenli bir ortam sağlamak için VMware kullanır .

Ev sahibi bilgileri konuğa sızabilir:

• konuk sanallaştırma katmanının kesişmediği yönergeleri doğrudan yürütürse.
• misafir ağ trafiğini doğrudan ana bilgisayarla aynı ağ kesiminde gözlemleyebiliyorsa.
• konuk dış dünya ile iletişim kurabilir ve ev sahibine geri soruşturma yapabilir.

Birincil kaygınız ilk sızıntı yöntemi ile ilgili gibi görünüyor, ancak diğer mekanizmalara karşı da koruma sağladığınızdan emin olmalısınız.

VMware (ve diğer hipervizörler), hassas talimatlar olarak kabul edilen şeylere müdahale ederek sanallaştırma sağlar. Hassas talimatlar ya konuk hakkında ev sahibi bilgisini açığa çıkaracak ya da konukun sanallaştırma katmanının içerisinden kaçmasına izin verecektir. Örneğin, sayfa tablosu tabanını değiştiren (bellek erişimini kontrol eden) talimatın sanallaştırma katmanı tarafından algılanması, yakalanması ve bu talimatın sanallaştırma yanılsamasını koruyan "güvenli" bir sürümüyle değiştirilmesi gerekir.

Ana makineden ayrı bir makinenin yanılsamasını sağlamak için, ana makine hakkında tanımlayıcı bilgileri (seri numaraları, MAC adresleri vb.) Ortaya çıkaran talimatlar da sanallaştırılır. VMware'de, bunlar vmxdosyada ayarlanabilir . Bu şeyler iyi anlaşılmış ve muhtemelen güvenlidir.

Bazen, VMware'in son sürümlerinin bazı "koruma" sağladığı CPUID talimatı gibi neyin maruz kaldığı konusunda ödünleşmeler olabilir. ( CPUID sanallaştırması hakkında birçok ayrıntı için VMotion ve CPU uyumluluğuna bakın .) Ayrıcalıklı bir talimat olarak yürütüldüğünde, bu yakalanabilir ve taklit edilebilir, ancak konuklara bazı (muhtemelen ilginç olmayan) bilgileri gösterebilecek yerel bir talimat olarak da yürütülebilir. .

Ancak, konuk ev sahibi hakkında pasif diğer bilgileri de öğrenebilir. Örneğin konuk, bellek zamanlamalarını inceleyerek çeşitli önbellek boyutlarında bilgi alabilir. Zamanlama ve diğer vektörler ("yan kanallar") aracılığıyla diğer misafirler (veya ev sahibi) hakkında bilgi edinme, aktif bir araştırma alanıdır. Ekim 2012'de araştırmacılar aslında diğer VM'lerden kriptografik anahtarlar çıkarmanın mümkün olduğunu keşfettiler . Bu oldukça korkutucu olabilir ve ne keşfedilebileceğinin ve buna karşı nasıl korunacağının sınırları henüz tam olarak bilinmemektedir.

Tamamen güvenli olmanın en iyi yolu, makinenizi dünyanın geri kalanından hava boşluğu ile izole etmektir. O zaman kötü niyetli yazılımın ne öğrendiği önemli değildir, çünkü bu bilgiyi kimseye iletemez. İşiniz bittiğinde makineyi silin. VMware gibi bir araç kullanmak, makine durumu bir dosya kümesinde kapsüllendiğinden bu silme ve durum kurtarmayı kolaylaştırır.

Konuk, ağları gibi ana bilgisayar ayarları hakkında hiçbir şey bilmemelidir, çünkü (neredeyse) tam olarak fiziksel hw gibi davranması gereken sanal bir hw verilir. Ancak cpu gibi bazı şeyler konuk bilmek zorunda, ama bu bilgi herhangi bir güvenlik tehlikeye olmamalıdır.

Bu nedenle, ana bilgisayardan konuğa herhangi bir ayar bilgisi sızıntısı varsa, bu bir güvenlik açığı olacaktır.

Bununla birlikte, hgfs'yi (host-guest dosya sistemi) etkinleştirirseniz, host dosya sisteminin en azından bir kısmı guest'te görünür olacak ve host hakkında bazı bilgiler türetmek mümkündür. Endişeniz varsa devre dışı bırakmalısınız.

Çoğu durumda iş istasyonu kişisel olarak kullanıldığından, tüm bunlar normal olarak önemli olmayabilir, yani, her durumda ana bilgisayara erişebilirsiniz. Aksi takdirde sunucu sanallaştırmasını (vsphere, xen, kvm) inceliyor olmalısınız.

Makale bir VM içinden konak bilgi ayıklamak nasıl? ESX (i) / vSphere kapsamında, konuk tarafından bazı ana bilgisayar bilgilerini almak için kullanılabilecek yardımcı programları açıklar. Güvenlik nedenleriyle bu kapsam olarak sınırlıdır.

İlk yardımcı program VMware Toolbox komutudur. ESX (i) ve guestOS yapılandırması hakkında temel kaynak istatistikleri de dahil olmak üzere bazı bilgiler sağlar.

UNIX/Linux - /usr/bin/vmware-toolbox-cmd
Windows - C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe

İkincisi vmtoolsd (VMware Tools Daemon) yardımcı programıdır, burada "info-get" parametresi sanal makinenin .vmx yapılandırma dosyasında veya sanal makine çalışırken VMX belleğinde guestinfo ayarlayabilir.

UNIX/Linux - /usr/bin/vmtoolsd
Windows - C:\Program Files\VMware\VMware Tools\vmtoolsd.exe