Ciao!!!

> Mi chiedevo se qualcuno aveva gia affrontato e implementato soluzioni
> di sicurezza in tale ambiente, e se ha suggeriementi a tal fine. 

Si', mi e' capitato con il mio precedente datore di lavoro di proteggere
KVM con SE-Linux ;-)

La community Fedora/CentOS e Red Hat Enterprise Linux hanno un supporto
migliore per quanto riguarda SE-Linux e KVM, infatti (prima che andassi
via dal cappellorosso) i miei colleghi stavano lavorando per integrare
nel modulo kvm agganci al sistema SE-Linux. 

Le distribuzioni debian/Ubuntu invece non sono "cosi' avanti" sul
sistema SE-Linux: infatti, se hai notato, usano apparmor come protezione
di default, anche se personalmente non piace.

Per proteggere un host con KVM puoi agire a tanti livelli. Sicuramente
non puoi prescindere dall'hardening del sistema hypervisor: pacchetti
minimalu, SSH attaccato solo all'interfaccia di management, allow
accesso solo a un subset di utenti, ecc.... penso che tu sappia gia'
queste cose.

Agire a livello DAC anche con KVM e' possibile: ti ricordo che, oltre ad
essere un modulo di OS, la macchina virtuale e' un processo lato
hypervisor e come tale parte con i permessi dell'utente che lo ha
lanciato. Ovviamente sottosistemi come libvirt[d] o altri lo lanceranno
come root, ma nessuno ti vieta di far partire una macchina virtuale con
utenti diversi e con permissions diverse: come avrai notato, non esiste
un file di conf di KVM, ma viene tutto specificato in cmdline. Quindi
bastera' fare "su <user> -c kvm -blablabla".

Se vuoi fare il passo successivo, puoi anche usare KVM con SE-Linux:
anche se non e' ancora a livello "produzione" l'aggancio selinux
all'interno di KVM, puoi sempre separare i processi KVM usando un
apposito tipo e poi usando una differente categoria (MCS) per ogni
macchina virtuale o gruppi di macchine virtuali [1].

Spero di aver fatto un barlume di luce.
Ciao ciao,
  Gippa

[1] Ref:
http://www.gpaterno.com/publications/2008/proteggere_files_sensibili_con_selinux.pdf

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a