Насколько безопасный Ubuntu в Virtualbox на хосте Windows?
Инструкции по Упаковке Fedora имеют проект документа, объясняющий, как обработать SELinux в пакетах, и они используют semanage. Без semanage, похоже, что поддержка RHEL 4 будет взломом, и нет никакого пути вокруг этого.
Согласно об/мин 4.9.0 информации о версии, была некоторая поддержка непосредственно в об/мин для управления политиками SELinux, но это было исторически повреждено:
- Более старые версии об/мин поддерживали %policy директиву в спецификации для присоединения политик SELinux в заголовок пакета, но это никогда не было действительно применимо ни для чего. Любое использование %policy директивы в спецификациях должно быть удалено, поскольку эта неиспользованная директива предотвращает здание с об/мин 4.9.0 и позже, ничего не делая для более старых версий.
- Начиная с об/мин 4.9.0, упаковка политики SELinux поддерживается через новый раздел %sepolicy в спецификации. Такие пакеты не могут быть созданы, но устанавливаемые на более старых версиях об/мин также (но включенные политики не будут использоваться всегда).
Я не вижу упоминания о контекстах файла там, и я не смог найти любое упоминание о поддержке контекста файла прямого доступа (как %attr в %files раздел). В любом случае похоже, что RHEL 6 находится только на об/мин 4.8.0, таким образом (если я не пропустил что-то), semanage маршрут так хорош, как мы собираемся быть способными сделать, по крайней мере, до RHEL 7.
Хост имеет полный контроль над гостем. Таким образом, если существует вредоносная работа хоста, гость скомпрометирован также.
На практике большая часть вредоносного программного обеспечения там только пытается заразить стандартное программное обеспечение, такое как сама ОС, веб-браузеры, медиаплееры, и т.д. Виртуальные машины являются таким редким случаем, который обычно не беспокоят вредоносные авторы, особенно учитывая это разнообразие систем, которые могли работать в VM, означает большую работу для вредоносного автора.
Однако это может измениться, поскольку виртуальные машины распространены больше. Например, вставка копии сделала бы относительно простой вектор заражения (Вы думаете, что копируете некоторый невинный текст в VM, но вредоносное программное обеспечение заставляет Вас на самом деле вставить команду, которая открывает логические элементы; также, полагайте, что путем шпионажа буфера обмена хоста, вредоносное программное обеспечение имеет доступ к чему-либо Вы вставка копии даже из VM к в VM). И если Вы - жертва целенаправленного нападения, а не некоторого общего вредоносного программного обеспечения, все ставки выключены.
Если у Вас есть сетевой канал между хостом и гостем, вредоносное программное обеспечение может попытаться, распространяют тот путь, как он был бы к любой другой машине в Вашей локальной сети.
Сначала необходимо определить то, что Вы подразумеваете под "безопасностью". Если Вы говорите о нормальных проблемах Windows "Вредоносного программного обеспечения" и "Virusus", это не должно быть значительной проблемной областью. Для всех практических целей можно рассматривать виртуального гостя как отдельная машина с теми же проблемами безопасности как другой объект в сети. Вредоносное программное обеспечение обычно является зависимым платформы, и передающий от одной ОС до другого не является только трудным в теории, но и невероятно редким на практике.
Это верно, что хост управляет гостем включая способность прервать, и вводить пакеты на он - сетевой интерфейс, но к моему знанию никакое известное вредоносное программное обеспечение в настоящее время не существует для предназначения для этого случая.
Если Вы говорите о видах безопасности, включает защиту от целенаправленных нападений... люди, смотрящие на то, что доступно в Вашей системе и использующий любую доступную поверхность, Ваша безопасность только так же сильна, как это - самая слабая ссылка. В этом случае Вы представили бы свои операции в Ubuntu, только столь безопасной или частной, как система Windows хоста была. Если бы это было поставлено под угрозу, то гость не был бы в безопасности от различных форм шпионажа и нападения. Сетевой интерфейс мог быть карнизом, отброшенным на, жесткий диск мог быть считан из файла изображения вне VM и так далее.
Нужно также упомянуть, что, так как Виртуальная машина получает ввод с клавиатуры из и отображает графику на устройствах хоста, которые автоматизировали вредоносное программное обеспечение, которое может получить ввод с клавиатуры, и/или снимки экрана могли потенциально украсть вводимую и отображенную информацию (пароли, и т.д.). Это не потребовало бы целенаправленного нападения.