My Universe Logo

My Universe Blog » Entries Tagged as hardware virtualization

Test-vServer-Kontingent von EUServ

Posted by Jesco Freund at Feb. 25, 2009 9:42 p.m.

Vor einiger Zeit hatte ich bereits über das vServer-Betatestprogramm von EUServ berichtet. Mittlerweile hat mir EUServ einen eigenen Bestellcode zugesendet, hinter dem ein Kontingent von 100 Test-vServern steht. Da immer noch Anfragen nach Codes bei mir eingehen, habe ich mich entschlossen, den Code jetzt doch hier online zu stellen. Somit ist eine Bestellung jetzt ohne Interaktion meinerseits möglich; ich werde daher auch nicht mehr auf Kommentare im alten Beitrag reagieren. Bei Interesse bitte einfach den erweiterten Beitrag beachten…

continue reading Test-vServer-Kontingent von EUServ

1 comment | Defined tags for this entry: Linux, server, hardware virtualization

EUServ stellt kostenlose Test-vServer bereit

Posted by Jesco Freund at Dec. 25, 2008 4:11 p.m.

Die Rahmendaten lesen sich mit 10GB Plattenspeicher und garantierten 512MB RAM gar nicht so übel. Beim OS stehen derzeit Gentoo und Debian zur Wahl. Mal sehen, was die Kiste über Zabbix und Nagios hinaus noch so verkraften kann… Weitere Details zur Aktion gibt's hier; wer einen Test-Gutschein haben möchte, kann hier einfach einen Kommentar hinterlassen (bitte mit gültiger E-Mailadresse, damit ich den Code auch zusenden kann) möge bitte meinen entsprechenden Blog-Eintrag beachten.

16 comments | Defined tags for this entry: Linux, server, hardware virtualization

Virtuelle Brunnenvergifter

Posted by Jesco Freund at March 3, 2008 5:05 p.m.

FreeBSD hat ihn, Open- und NetBSD auch. Gentoo hat noch ein bisschen „age“ draufgepackt und gleich das Basissystem plus Kernel mit hineingepackt. Die Rede ist vom Ports- oder Portage-Tree, einem Verzeichnisbaum voller Bauanleitungen und Patches, der bei den genannten Betriebssystemen das herkömmliche Paketverwaltungssystem à la RPM, PKG, DEB etc. ersetzt oder ergänzt. Soweit nichts ungewöhnliches, doch unter bestimmten Umständen kann ein solcher Source Tree zum Angriffsvektor werden.

Kombiniert man eines der genannten Systeme mit einer nahezu beliebigen Virtualisierungstechnik (egal ob Xen, OpenVZ, Jails oder einfach nur gehärtete Chroot-Umgebungen), erscheint es schon bei einigen wenigen Instanzen interessant, den Quellenbaum nur einmal zentral für alle Instanzen vorzuhalten – das spart nicht nur Speicherplatz, sondern auch Bandbreite, und zwar in erheblichem Maße. Allerdings ist der gemeinsame Source Tree, egal ob über NFS oder mount-bindings bereitgestellt, nun auch von jeder virtuellen Instanz aus zugänglich. Die Kompromittierung eines virtuellen Subsystems könnte also auch die Kompromittierung des Ports- oder Portage Trees nach sich ziehen und einer Angriffsform Tür und Tor öffnen, die man als Ports Tree Poisoning bezeichnen kann. Hierbei wird gezielt ein Metapaket manipuliert (z. B. ein zusätzlicher Patch mit untergeschoben), wobei auch Digest-Files und das ggf. vorhandene Changelog mit angepasst werden, um die Paketverwaltungswerkzeuge zu überlisten. Gelingt dies einem Angreifer bei einem Port oder ebuild, der in wahrscheinlich allen virtuellen Instanzen installiert ist (ein gutes Ziel wäre eines der Paketmanagement-Tools selbst, OpenSSH o. ä.), bestehen große Chancen, dass der Admin des Systems mit dem nächsten Update aus der vergifteten Quelle schöpft und damit dem Angreifer sprichwörtlich die Schlüssel zum System überreicht.

Die Gefahr für ein solches Horrorszenario stellt sich je nach System allerdings ein wenig unterschiedlich dar. Bei Gentoo Linux etwa könnte der Portage-Tree den virtuellen Instanzen read-only zur Verfügung gestellt werden – kein Problem, da emerge die Kompilier-Arbeit in /var/tmp erledigt und nicht in einem Unterverzeichnis des ebuilds. Außerdem erfolgt die Synchronisierung des Portage-Trees mittels rsync; dabei wird der gesamte Tree überprüft und Fremdkörper zuverlässig entfernt. Entsprechende Sorgfalt vorausgesetzt, spricht hier also wenig gegen Source Tree Sharing – ein (minimales) Restrisiko besteht dennoch.

Deutlich risikoreicher nimmt sich die Lage bei FreeBSD aus: Der Ports-Tree darf nicht read-only sein, da das kompilieren der Pakete in einem Unterverzeichnis (./work) des jeweiligen Ports erfolgt. Updates des Ports-Trees erfolgen entweder direkt per CVS (csup bzw. cvsup) oder über Patches (portsnap). Dabei werden aber nur Änderungen übermittelt, die am zentralen Ports-Tree vorgenommen wurden. Manipulationen an nicht von Updates betroffenen Ports fallen hingegen nicht auf und werden auch nicht überschrieben. Ports Tree Sharing für FreeBSD Jails ist also indiskutabel, wenn das betreffende System zumindest minimalen Sicherheitsanforderungen genügen soll.

Fazit: Wird eine OS-Level-Virtualisierung à la Jails eingesetzt, um die Gesamtsicherheit eines Systems zu erhöhen, sollte man sich diesen Sicherheitsgewinn nicht durch unbedachte „Tunnel“ zunichte machen. Auch wenn Ports- und Portage-Tree sich auf den ersten Blick stark ähneln – es sind die Details in der Implementierung, die hier über sicher oder nicht sicher entscheiden.

2 comments | Defined tags for this entry: FreeBSD, Gentoo, security, hardware virtualization

Sag mir, wo der Speicher ist…

Posted by Jesco Freund at Jan. 12, 2008 8:47 p.m.

… wo ist er geblieben? Genau vor dieser Frage stand ich heute morgen, als ich auf meinem Server über 4 von insgesamt 8 vorhandenen Gigabytes an Arbeitsspeicher vermisste – als Xen-Dom0 gebootet, waren auf einmal nur noch ca. 3,4 GiB vorhanden, genau wie bei einem „normalsterblichen“ 32-Bit-System. Installiert ist aber Debian Etch in der amd64-Variante, die sich eigentlich über so viel RAM freuen sollte. Erst hatte ich den Kernel im Verdacht, aber am Ende stellte sich Grub als Übeltäter heraus. Während bei normalen Kerneln auf die vom BIOS bereitgestellte e820 Memory Map zurückgegriffen wird, verlässt Xen sich auf die vom Bootloader übergebene Memory Map, und die stimmt bei der aktuell in Etch enthaltenen Version 0.97-27 eben nur für die ersten 32 Bit des Adressraumes. Bei Debian gibt es dazu auch einen entsprechenden Bugreport. Zwar wird dort auch geraten, sich nicht mehr mit dem Problem zu befassen, da ja bald Grub 2 kommen soll – das war aber irgendwann im Frühjahr, und wer Debian kennt, wird ein „bald“ schon richtig zu interpretieren wissen ;-)

Allerdings ist es kein Hexenwerk, hier Abhilfe zu schaffen. Grub muss nur etwas angepasst werden, dann liefert er auch für 64-Bit-Systeme eine korrekte e820 RAM Map. Was zu tun ist, wird im folgenden beschrieben:

continue reading Sag mir, wo der Speicher ist…

1 comment | Defined tags for this entry: Debian, server, hardware virtualization, Xen

Debianisiert

Posted by Jesco Freund at Dec. 17, 2007 3:13 p.m.

Wie gestern schon angedeutet, habe ich mir mehr als nur die halbe Nacht damit um die Ohren geschlagen, noch verschiedene Linux-Distributionen zu testen. Fedora hat sich relativ fix selbst disqualifiziert – Hetzner bietet zwar die Installation von FC8 via VNC an, aber mehrfache unmotivierte Abbrüche durch Fehler beim erzeugen der Dateisysteme waren dann zu viel des Guten. Mit Gentoo habe ich noch einmal sehr viel Zeit zugebracht, aber die xen-sources wollten sich partout nicht booten lassen. Als letzte Option habe ich jetzt noch mal Debian 4.0 installiert (und auf Anhieb zum laufen bekommen). Die genaue Vorgehensweise habe ich im RootForum-Wiki dokumentiert.

No comments | Defined tags for this entry: Debian, Linux, hardware virtualization, Xen

The One and Only…

Posted by Jesco Freund at Dec. 16, 2007 12:02 p.m.

… gibt es nicht. Jedenfalls nicht unter den unixoiden Betriebssystemen. Für ein umfangreicheres Xen-Setup ein geeignetes Basis-System zu finden gestaltet sich schwieriger, als ich zunächst dachte. Favorit wäre für mich ein BSD-System; das einzige, das zur Zeit mit Xen-Unterstützung daherkommt, ist NetBSD. Nicht schlecht, aber NetBSD fehlt ein tauglicher Volume Manager, nachdem vinum mit 4.0 endgültig aus dem System fliegt – nicht weiter verwunderlich, da das Projekt seit 2004 nicht mehr weiterentwickelt wurde. Und bei dem Gedanken an eine Datenbank-DomU unter Volldampf auf einem Disk Image File kommt mir irgendwie das kalte Grausen. Richtig schick wäre ja ein System mit ZFS-Unterstützung, aber da käme nur OpenSolaris in Frage, und das ist mir wiederum für ein Produktivsystem zu wackelig und zu viel Bastelei.

continue reading The One and Only…

No comments | Defined tags for this entry: Gentoo, Linux, NetBSD, Ubuntu, unix, hardware virtualization, Xen, ZFS

Page 1 of 1