Vali Dragnuta wrote: > >> La nivel strict software nu stiu de un atac prin care sa poti sa sari >> din masina virtuala in cea reala. Vectorii clasici de atac, in schimb, >> raman activi. >> Concluzia finala ... nu mai puneti pe servere web chestii la modul de >> i-made-this-php-and-i-put-it-on-the-net-for-all-people-to-get-hacked-with-it. > > Sint 2 lucruri de considerat : > 1). De indata ce are control asupra unei masini virtuale e posibil sa > aiba mai multe posibilitati sa incerce sa compromita alte masini din > acelasi subnet (Eventual alte masini virtuale rulind in acelasi hardware > gazda).
Corect. > > 2). Openvz este kernel-level virtualization. Ceea ce inseamna ca toate > guesturile ruleaza sub exact aceeasi instanta de kernel, identica cu a > gazdei. Nu m-ar mira ca dintr-o astfel de masina virtuala sa se poata > scapa la un moment dat. > Nici eu nu cunosc inca situatii in care sa se fi intimplat asa ceva - nu > inseamna insa ca nu se va face la un moment dat. > Erau vremuri cind nici din chroot nu se stia ca se poate iesi. > Si aici ai drptate, dar d.p.d.v. al securitatii luam in calcul si porobabilitatea de a se produce un anume incident, si cati crackeri ar putea /sti sa faca lucru asta. Si ma mai gandesc acu la colistats-ul nostru cel necajit(nu doresc nimanui sa fie acu in pielea lui) ca totusi nu are sit-ul cu problema la vro' firma de super-top, incat sa se "ingesuie" cracherii pe el cu miile pe ora! > Drept pentru care am si spus : mai bine sa nu ai nimic compromis. Sigur ca e mai bine asa! Oricum ideea din raspunsul meu, era cu referire la situatia in care nu poate rezolva problema(adica fara nimic compromis=varianta cea mai buna), pana gaseste o rezolvare, poate apela la o masina virtuala(din 2 rele, alege o varianta SEMNIFICATIV mai putin riscanta).In felul asta castiga timp... pana ii da de cap(e mai dificil sa gasesti solutia potrivita cand stii ca stai cu "satarul" deasupra capului). Mie mi se pare ca problema lui nu e chiar simpla, si s-ar putea sa-i ia ceva timp pana o so' rezolve astfel incat sa NU AIBA NIMIC COMPROMIS. Eu unul cel putin i-i tin pumnii, si daca vrea sa incerce varianta SUGERATA de mine, il voi ajuta cat imi sat in puteri(adica timp si cunostinte). Si as fi curios sa aflu ce varianta de rezolvare a ales, si cu ce rezultate(inclusiv variantele care nu au dat rezultatele scontate). In felul asta mai capatam si ceva cunostinte in plus! BAFTA > > > > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
