Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
KVM & Xen: Was sieht der Hypervisor?
32 views
Skip to first unread message
Sebastian Lipp
Aug 6, 2012, 7:55:04 AM8/6/12
to
Hallo!
Ich habe vor, einen VPS bei irgendeinem Hoster anzumieten, bin mir aber
noch nicht sicher, ob nur Xen oder auch KVM für mich in Frage kommt.
Ich vermute, dass bei KVM die Angriffsfläche für einen Einbruch schon
allein deshalb größer ist, weil da ein komplettes Linux läuft,
wohingegen der Xen-Hypervisor ein recht kleines Paket mit eingechränkter
Funktionalität ist. Ist das soweit korrekt?
Um dieser Gefahr zu begegnen (und weil die Daten auch den Hoster nix
angehen) will ich RAM und Disk (komplett) verschlüsseln. Kann ich dann
sicher sein, dass - vorausgesetzt ich verschlüssele zuerst den RAM mit
einem Zufallsschlüssel - der Hypervisor nur verschlüsselte Daten sehen
kann? Macht es hier einen Unterschied, ob ich Xen oder KVM einsetze?
Gibt es allgemeine Unterschiede im Hinblick auf die Sicherheit zwischen
Xen und KVM, die beachtet werden sollten?
Ich habe zwar schon 'ne ganze Weile recherchiert, aber bisher habe ich
keine befriedigende Antwort auf die Fragen. Vielleicht kann mir ja wer
weiter helfen oder mich auf entsprechende Dokumente verweisen.
Vielen Dank.
--
basti
Ich habe vor, einen VPS bei irgendeinem Hoster anzumieten, bin mir aber
noch nicht sicher, ob nur Xen oder auch KVM für mich in Frage kommt.
Ich vermute, dass bei KVM die Angriffsfläche für einen Einbruch schon
allein deshalb größer ist, weil da ein komplettes Linux läuft,
wohingegen der Xen-Hypervisor ein recht kleines Paket mit eingechränkter
Funktionalität ist. Ist das soweit korrekt?
Um dieser Gefahr zu begegnen (und weil die Daten auch den Hoster nix
angehen) will ich RAM und Disk (komplett) verschlüsseln. Kann ich dann
sicher sein, dass - vorausgesetzt ich verschlüssele zuerst den RAM mit
einem Zufallsschlüssel - der Hypervisor nur verschlüsselte Daten sehen
kann? Macht es hier einen Unterschied, ob ich Xen oder KVM einsetze?
Gibt es allgemeine Unterschiede im Hinblick auf die Sicherheit zwischen
Xen und KVM, die beachtet werden sollten?
Ich habe zwar schon 'ne ganze Weile recherchiert, aber bisher habe ich
keine befriedigende Antwort auf die Fragen. Vielleicht kann mir ja wer
weiter helfen oder mich auf entsprechende Dokumente verweisen.
Vielen Dank.
--
basti
Sven Hartge
Aug 6, 2012, 9:32:33 AM8/6/12
to
Sebastian Lipp <ba...@riseup.net> wrote:
> Ich habe vor, einen VPS bei irgendeinem Hoster anzumieten, bin mir
> aber noch nicht sicher, ob nur Xen oder auch KVM für mich in Frage
> kommt.
> Ich vermute, dass bei KVM die Angriffsfläche für einen Einbruch schon
> allein deshalb größer ist, weil da ein komplettes Linux läuft,
> wohingegen der Xen-Hypervisor ein recht kleines Paket mit
> eingechränkter Funktionalität ist. Ist das soweit korrekt?
Jain.
> Ich habe vor, einen VPS bei irgendeinem Hoster anzumieten, bin mir
> aber noch nicht sicher, ob nur Xen oder auch KVM für mich in Frage
> kommt.
> Ich vermute, dass bei KVM die Angriffsfläche für einen Einbruch schon
> allein deshalb größer ist, weil da ein komplettes Linux läuft,
> wohingegen der Xen-Hypervisor ein recht kleines Paket mit
> eingechränkter Funktionalität ist. Ist das soweit korrekt?
Auch bei Xen hast du eine mächtige und alles könnende Steuerungs-Domäne,
die ein volles Linux beinhaltet.
> Um dieser Gefahr zu begegnen (und weil die Daten auch den Hoster nix
> angehen) will ich RAM und Disk (komplett) verschlüsseln. Kann ich dann
> sicher sein, dass - vorausgesetzt ich verschlüssele zuerst den RAM mit
> einem Zufallsschlüssel - der Hypervisor nur verschlüsselte Daten sehen
> kann? Macht es hier einen Unterschied, ob ich Xen oder KVM einsetze?
ausgeführt werden kann. Und selbst wenn es ginge, zum Zeitpunkt der
Ausführung müßte der RAM erst entschlüsselt werden und steht in dem
Moment einem potentiellen Angreifer offen.
Bei deiner angenommenen Paranoia verbietet sich ein virtueller Host
eigentlich, du willst einen kompletten Root-Server, der nur von dir
genutzt wird.
S°
--
Sigmentation fault. Core dumped.
Florian Weimer
Aug 6, 2012, 2:57:41 PM8/6/12
to
* Sebastian Lipp:
> Um dieser Gefahr zu begegnen (und weil die Daten auch den Hoster nix
> angehen) will ich RAM und Disk (komplett) verschl�sseln. Kann ich dann
> sicher sein, dass - vorausgesetzt ich verschl�ssele zuerst den RAM mit
> einem Zufallsschl�ssel - der Hypervisor nur verschl�sselte Daten sehen
Betreiber auch bei einer physischen Maschine den Hauptspeicher
auslesen. Gegenma�nahmen sind schwierig und bei einem einzigen
Betreiber schlicht unm�glich.
> Um dieser Gefahr zu begegnen (und weil die Daten auch den Hoster nix
> sicher sein, dass - vorausgesetzt ich verschl�ssele zuerst den RAM mit
> einem Zufallsschl�ssel - der Hypervisor nur verschl�sselte Daten sehen
> kann? Macht es hier einen Unterschied, ob ich Xen oder KVM einsetze?
Nein. Xen mit HVM ist KVM recht �hnlich. Grunds�tzlich kann der
Betreiber auch bei einer physischen Maschine den Hauptspeicher
auslesen. Gegenma�nahmen sind schwierig und bei einem einzigen
Betreiber schlicht unm�glich.
Message has been deleted
Sebastian Lipp
Aug 6, 2012, 8:02:38 PM8/6/12
to
On 2012-08-06, Ralf Döblitz <doeb...@doeblitz.net> wrote:
> Sven Hartge <sh-...@svenhartge.de> schrieb:
> [...]
> nicht. Die Passphrase für verschlüsselte Platten müßte ja auch irgendwo
> stehen, damit die Kiste überhaupt booten kann (interaktive Eingabe
> verbietet sich bei Hosting IMHO).
Wieso? Mit zum Beispiel einen Dropbear im early userspace lässt sich das
ja per SSH regeln.
--
basti
> Sven Hartge <sh-...@svenhartge.de> schrieb:
> [...]
>> Bei deiner angenommenen Paranoia verbietet sich ein virtueller Host
>> eigentlich, du willst einen kompletten Root-Server, der nur von dir
>> genutzt wird.
>
> Und der im eigenen Serverraum steht, denn dem Hoster vertraut er ja
>> eigentlich, du willst einen kompletten Root-Server, der nur von dir
>> genutzt wird.
>
> nicht. Die Passphrase für verschlüsselte Platten müßte ja auch irgendwo
> stehen, damit die Kiste überhaupt booten kann (interaktive Eingabe
> verbietet sich bei Hosting IMHO).
Wieso? Mit zum Beispiel einen Dropbear im early userspace lässt sich das
ja per SSH regeln.
--
basti
Juergen P. Meier
Aug 7, 2012, 12:27:57 AM8/7/12
to
Ralf Dï¿œblitz <doeb...@doeblitz.net>:
> nicht. Die Passphrase fᅵr verschlᅵsselte Platten mᅵᅵte ja auch irgendwo
> stehen, damit die Kiste ï¿œberhaupt booten kann (interaktive Eingabe
entschluesseln und fertig.
> nicht. Die Passphrase fᅵr verschlᅵsselte Platten mᅵᅵte ja auch irgendwo
> stehen, damit die Kiste ï¿œberhaupt booten kann (interaktive Eingabe
> verbietet sich bei Hosting IMHO).
Nicht zwingend, bzw. wenn man damit leben kann - SSH zum
entschluesseln und fertig.
Message has been deleted
Message has been deleted
Juergen P. Meier
Aug 8, 2012, 4:06:53 AM8/8/12
to
Ralf Döblitz <doeb...@doeblitz.net>:
> Juergen P. Meier <nospa...@jors.net> schrieb:
>> Ralf Döblitz <doeb...@doeblitz.net>:
>>> nicht. Die Passphrase für verschlüsselte Platten müßte ja auch irgendwo
>>> stehen, damit die Kiste überhaupt booten kann (interaktive Eingabe
> wollen, sonst würde ich den Kram ja nicht extra noch zur Redundanz bei
> einem Hoster unterstellen (zusätzlich zum eigenen RZ). YMMV.
Das tut sie in der Tat. Der Hoster, bei dem ich meinen Server stehen
habe, hat eine sehr hohe Zuverlaessigkeit. In den letzten 5 jahren
hatte ich nur zwei geplante Ausfaelle (umbau und ein Umzug), keinen
ungeplanten Ausfall. Und bei geplanten Ausfaellen komme ich mit obigem
Konzept sehr gut zurecht.
Der Fall des ungeplanten Stromausfalls/Serverrestarts hatte ich bisher
noch nicht. In so einem Fall kann es in der Tat bis zu einem halben
Tag dauern, biss ich Gelegenheit habe die Passphrase einzugeben.
Fuer meine Ansprueche reicht das, bessere SL hat mein Hoster sowieso
nicht (von der Seite aus kann der Server Tagelang weg sein).
Man sollte immer das gesammte SL im Auge behalten - ein
vollautomatisch ohne Zeitverlust durchstartender Server nuetzt dir nur
wenig, wenn das SLA deines Hosters es zulaesst, dass dieser deinen
Server fuer ein paar Tage auf Halde legen kann, z.B. um das Rack
umzubauen/reparieren ...
Zustimmen muss ich dir natuerlich fuer diejenigen Faelle, wo man extra
Geld ausgibt fuer ein ordentliches SLA mit dem Hoster, das Ausfaelle
ueber laengere Zeit verbietet - dann kann man sich auch nicht leisten,
selbst an Anlaufverzoegerungeen schuld zu sein (bzw. waere das dann
nur Geldverschwendung).
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
> Juergen P. Meier <nospa...@jors.net> schrieb:
>> Ralf Döblitz <doeb...@doeblitz.net>:
>>> nicht. Die Passphrase für verschlüsselte Platten müßte ja auch irgendwo
>>> stehen, damit die Kiste überhaupt booten kann (interaktive Eingabe
>>> verbietet sich bei Hosting IMHO).
>>
>> Nicht zwingend, bzw. wenn man damit leben kann - SSH zum
>> entschluesseln und fertig.
>
> Naja, ich würde mit der Downtime bis zum manuellen Eingriff nicht leben
>>
>> Nicht zwingend, bzw. wenn man damit leben kann - SSH zum
>> entschluesseln und fertig.
>
> wollen, sonst würde ich den Kram ja nicht extra noch zur Redundanz bei
> einem Hoster unterstellen (zusätzlich zum eigenen RZ). YMMV.
Das tut sie in der Tat. Der Hoster, bei dem ich meinen Server stehen
habe, hat eine sehr hohe Zuverlaessigkeit. In den letzten 5 jahren
hatte ich nur zwei geplante Ausfaelle (umbau und ein Umzug), keinen
ungeplanten Ausfall. Und bei geplanten Ausfaellen komme ich mit obigem
Konzept sehr gut zurecht.
Der Fall des ungeplanten Stromausfalls/Serverrestarts hatte ich bisher
noch nicht. In so einem Fall kann es in der Tat bis zu einem halben
Tag dauern, biss ich Gelegenheit habe die Passphrase einzugeben.
Fuer meine Ansprueche reicht das, bessere SL hat mein Hoster sowieso
nicht (von der Seite aus kann der Server Tagelang weg sein).
Man sollte immer das gesammte SL im Auge behalten - ein
vollautomatisch ohne Zeitverlust durchstartender Server nuetzt dir nur
wenig, wenn das SLA deines Hosters es zulaesst, dass dieser deinen
Server fuer ein paar Tage auf Halde legen kann, z.B. um das Rack
umzubauen/reparieren ...
Zustimmen muss ich dir natuerlich fuer diejenigen Faelle, wo man extra
Geld ausgibt fuer ein ordentliches SLA mit dem Hoster, das Ausfaelle
ueber laengere Zeit verbietet - dann kann man sich auch nicht leisten,
selbst an Anlaufverzoegerungeen schuld zu sein (bzw. waere das dann
nur Geldverschwendung).
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
0 new messages