Besten Dank für die Info. Gedacht ist nur eine reine
Surfstation für Internetrecherche und Email. Welche
Schutzsysteme wären am sinnvoll? Ich selber bin leider noch
ziemlicher Laie auf dem Gebiet der Sicherheit.
Ich weiss nicht, wie das bei der VirtualBox aussieht: Bei VMWare wird der Verwaltungsdienst bei jedem Kompilieren (z. B. nach Upgrades von VMWare oder des Kernels) an sämtliche Netzwerkinterfaces gebunden. Dass ist dann überaus ärgerlich, wenn der Host selbst Zugriff auf das Internet haben, der Verwaltungsdienst aber aus dem Internet nicht erreichbar sein soll. Hier lässt sich Abhilfe schaffen, indem die inetd-Konfiguration einmal sauber angepasst und anschliessend schreibgeschützt wird.
Eine Alternative ist, dem Host selbst keinen Internetzugang zu geben, sondern das entspr. Interface transparent an eine VM durchzureichen. Dann muss die VM aber als Proxy fungieren, damit der Host u. a. an Sicherheitsupdates herankommt. Sinnvoll ist das nur, wenn der Host mitsamt seinen VM als Firewall-Appliance o. ä. eingesetzt wird.
Bei einer reinen Surfstation ist zu beachten, dass der Host selbst wie auch die VM keine Dienste ins Internet anbieten. Dabei ist der Host wesentlich kritischer zu betrachten, als die VM. Im Paranoia-Modus sollte der Host keinen anderen Zwecken dienen und auf genau die eine Aufgabe reduziert sein, als Server für VM zu dienen. Das wird bei dir aber nicht funktionieren, da du die Hardware nicht 1 zu 1 an die VM durchreichen kannst. Wie bereits gesagt kenne ich die VirtualBox nicht, gehe aber davon aus, dass hardwarelastige Anwendungen wie z. B. GoogleEarth in der VM nicht (befriedigend) laufen werden.
Insbesodere bei einem reinen Desktop-System führt die Virtualisierung bestimmter Aufgaben daher nicht zur Erhöhung der Systemsicherheit, sondern allenfalls zur Erhöhung der Sicherheit dieser in die VM ausgelagerten Aufgaben.
Kann der bereits angesprochene AppArmor von Suse zwei
Virtuelle Maschinen des selben Serversystems unabhängig
voneinander behandeln - dann wäre vielleicht eine weitere
Schutzschicht möglich?
Du kannst einen Symlink auf das Binary, das die VirtualBox aufruft, legen und dafür ein eigenes AA-Profil erstellen. Allerdings ist die Abschottung der VM untereinander eher unkritisch, insbesondere wenn du im Vorfeld die Beziehungen der Maschinen zueinander sauber definierst. Indem die Surfstation z. B. Freigaben für die anderen VM oder den Host anbietet, diese aber umgekehrt auf keinerlei Freigaben zugreifen darf.
Grundsätzlich scheint mir dein Konzept nicht sonderlich schlüssig. Sinnvoller ist es, für den Host selbst ein Sicherheitskonzept zu definieren und lediglich Aufgaben mit erhöhtem Schutzbedarf oder solche, die dem Sicherheitskonzept nicht genügen (Trojaner fangen mit dem IE6…), in VM auszulagern. Dein Konzept scheint mir eher als Versuch, sich aus paranoider Furcht vor dem Sturz selbst ein Bein zu stellen, bevor ein anderer es tut. Zwischen Host und den diversen VM wird es immer Querbeziehungen geben und diese zu regulieren dürfte weitaus schwieriger sein, als einen herkömmlichen Arbeitsplatz-PC mit üblichen Sicherheitsstandards, wie etwa BSI oder deine Terrororganistion sie verlangen, aufzusetzen.
Gruß
