Ciao!!! > Mi chiedevo se qualcuno aveva gia affrontato e implementato soluzioni > di sicurezza in tale ambiente, e se ha suggeriementi a tal fine.
Si', mi e' capitato con il mio precedente datore di lavoro di proteggere KVM con SE-Linux ;-) La community Fedora/CentOS e Red Hat Enterprise Linux hanno un supporto migliore per quanto riguarda SE-Linux e KVM, infatti (prima che andassi via dal cappellorosso) i miei colleghi stavano lavorando per integrare nel modulo kvm agganci al sistema SE-Linux. Le distribuzioni debian/Ubuntu invece non sono "cosi' avanti" sul sistema SE-Linux: infatti, se hai notato, usano apparmor come protezione di default, anche se personalmente non piace. Per proteggere un host con KVM puoi agire a tanti livelli. Sicuramente non puoi prescindere dall'hardening del sistema hypervisor: pacchetti minimalu, SSH attaccato solo all'interfaccia di management, allow accesso solo a un subset di utenti, ecc.... penso che tu sappia gia' queste cose. Agire a livello DAC anche con KVM e' possibile: ti ricordo che, oltre ad essere un modulo di OS, la macchina virtuale e' un processo lato hypervisor e come tale parte con i permessi dell'utente che lo ha lanciato. Ovviamente sottosistemi come libvirt[d] o altri lo lanceranno come root, ma nessuno ti vieta di far partire una macchina virtuale con utenti diversi e con permissions diverse: come avrai notato, non esiste un file di conf di KVM, ma viene tutto specificato in cmdline. Quindi bastera' fare "su <user> -c kvm -blablabla". Se vuoi fare il passo successivo, puoi anche usare KVM con SE-Linux: anche se non e' ancora a livello "produzione" l'aggancio selinux all'interno di KVM, puoi sempre separare i processi KVM usando un apposito tipo e poi usando una differente categoria (MCS) per ogni macchina virtuale o gruppi di macchine virtuali [1]. Spero di aver fatto un barlume di luce. Ciao ciao, Gippa [1] Ref: http://www.gpaterno.com/publications/2008/proteggere_files_sensibili_con_selinux.pdf
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
