Aus Sicherheitsgründen ist es empfehlenswert VMs ohne Root-Rechte auszuführen. Wie sich das mit Virtual Machine Manager (VMM) und QEMU/ KVM umsetzen lässt, hatte ich bereits in dem Beitrag Virtual Machine Manager & QEMU/KVM: VMs ohne Root-Rechte ausführen beschrieben.

Ohne Root-Rechte verwendet eine VM standardmäßig das funktional eingeschränkte "Benutzermodus"-Netzwerk mit SLIRP als Backend. Grundsätzlich erlaubt auch SLIRP Port-Forwarding, aber das lässt sich anscheindend nicht direkt über VMM konfigurieren. Seit libvirt v9.0.0 kann für das "Benutzermodus"-Netzwerk als Alternative zu SLIRP das moderne und mit "security in mind" entwickelte passt als Backend genutzt werden. Hiermit lassen sich Port-Weiterleitungen direkt in VMM - derzeit allerdings nur durch manuelle XML-Anpassung - einstellen.

Weiterlesen

Aktuell beschäftige ich mich gerade etwas mit TPM (Trusted Platform Module) und dazugehörigen nützlichen Anwendungsfällen. Ein Beispiel wäre z.B. die per TPM verschlüsselte Aufbewahrung von SSH-Keys. Im Allgemeinen verwende ich zum "Experimentieren" immer eine VM. Standardmäßig stellt eine VM auf Basis von QEMU/ KVM aber kein TPM zur Verfügung. Wie ihr mittels swtpm eure VMs mit einem emuliertem TPM(2)-Chip ausstatten könnt, erfahrt ihr in diesem Beitrag.

Weiterlesen

Standardmäßig verbindet sich Virtual Machine Manager (VMM) über die URI qemu:///system mit dem lokalen libvirt-Dienst, der wiederum zur Kommunikation mit QEMU/ KVM dient. Der libvirt-Dienst wird bereits beim Systemstart gestartet und läuft mit Root-Rechten. Alle virtuellen Maschinen (VMs) die unter dieser VMM-Verbindung ausgeführt werden, laufen somit mit Root-Rechten.

Aus Sicherheitsgründen ist es empfehlenswert, VMs bevorzugt ohne Root-Rechte und nur mit Benutzerechten auszuführen. Im folgenden Beitrag erfahrt ihr, wie ihr eure VMs mit VMM über qemu:///session und somit ohne Root-Rechte ausführt.

Weiterlesen

Whonix ist ein Betriebssystem mit dem Ziel, die Privatsphäre und Anonymität des Benutzers zu wahren. Hierfür leitet Whonix den kompletten Internetverkehr durch das Tor-Netzwerk. Aus Sicherheitsgründen, um z.B. IP- und DNS-Leaks zu verhindern, setzt sich Whonix aus zwei VMs (Workstation & Gateway) zusammen. Das Gateway stellt dabei die Verbindung zum Tor-Netzwerk her und stellt sicher, dass sämtlicher Netzwerkverkehr darüber geroutet wird. Die Workstation ist für die eigentliche Nutzung, z.B. zum Surfen im Internet, gedacht. Die einzige Verbindung der Workstation zur Außenwelt ist über das Gateway. Die einzelnen Applikationen (Webbrowser, E-Mail-Client, Messenger etc.) in der Workstation müssen also nicht einzeln konfiguriert werden, sondern alle Anfragen laufen über das Gateway und werden somit durch das Tor-Netzwerk geleitet.

Als Workstation kommt im Allgemeinen die von Whonix empfohlene Whonix-Workstation zum Einsatz. Man kann aber auch andere Betriebssysteme als Workstation verwenden. In diesem Beitrag zeige ich euch, wie ihr eine Ubuntu-VM und die Whonix-Gateway-VM unter QEMU/ KVM einrichtet.

Weiterlesen

Aktuell stand ich vor der Frage, wie ich mit dem Virtual Machine Manager in Verbindung mit QEMU/ KVM ein internes isoliertes Netzwerk zwischen zwei VMs (Gastsystemen) herstellen kann. Ziel sollte es sein, dass ausschließlich die Gastsysteme untereinander in einem privaten Netzwerk kommunizieren können. Im Gegensatz zum sogenannten "Host-Only"-Netzwerk sollte eine Kommunikation zwischen Gastsystemen und Host als auch umgekehrt nicht möglich sein.

In diesem Beitrag zeige ich euch Schritt für Schritt, wir so ein internes isoliertes Netzwerk mit dem Virtual Machine Manager einrichtet.

Weiterlesen