Open Source im professionellen Einsatz
Linux-Magazin 05/2017
© Win Nondakowit, 123RF

© Win Nondakowit, 123RF

KVM-Konfigurationsfehler vermeiden

Gelebter Separatismus

Virtualisierung isoliert systembedingt seine VMs wesentlich wirksamer als ein Containerhost seine Gäste. Allerdings bergen Implementierungsschwächen im Hypervisor und Konfigurationsfehler das Restrisiko von folgenreichen Ausbrüchen – hier erklärt am Beispiel von KVM.

193

Egal, ob eine Virtualisierungsumgebung nur aus wenigen Hosts bestehen wird oder ob eine komplexe Cloudlandschaft zu betonieren ist – eine Mehrheit von Admins, die Linux als Basis ihres Hypervisor einplant, gibt heute KVM den Vorzug. Dass alle üblichen Linux-Distributionen die dafür notwendigen Softwarepakete bereits mitbringen, befördert oft die Entscheidung und vereinfacht das Vorhaben selbst.

Viel zu selten beachten die Architekten solcher Setups die Sicherheit ihres Konstruktes. Zwar zeigt die Verbreitung von Containertechnologien, unter welch geringem Schutzgrad viele Anwender bereit sind zu arbeiten. Daraus und aus dem positiven Umstand, dass Virtualisierung systembedingt seine Gäste viel besser voneinander isoliert als Docker & Co., lässt sich aber nicht ableiten, dass Linux-Hypervisor wie KVM automatisch sicher wären. Der Artikel beschreibt daher Härtungsmaßnahmen und legt den Finger auf häufige Konfigurationsfehler.

Die weitreichendste Gefahr für einen Virtualisierungsserver droht, wenn es einer maliziösen VM gelingt, auszubrechen und Zugriff auf den Host und andere Gäste zu erlangen. Real wird die Gefahr durch Fehler in den Komponenten der Virtualisierung. Das Gegenmittel Nummer 1 besteht im zügigen Einspielen aller Sicherheitspatches. Der Admin kann die Wahrscheinlichkeit, dass ein Gast ausbricht, aber auch anderweitig reduzieren.

[...]

Linux-Magazin Online veröffentlicht alle Print-Artikel, die seit 2001 im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 3000 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine kleine Gebühr fällig.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Was ist schon real?

    Virtualisierung mit Open-Source-Tools brummt. Das schlanke und schnelle KVM reicht seit Kurzem auch physische PCI-Hardware direkt durch, wenn der Admin ein paar Sachen beachtet. Wie das ohne Probleme klappt, zeigt diese Anleitung.

  • Senkrechtstarter

    Dank Libvirt-Toolkit wildert KVM auch unter den Gäste-Images der Mitbewerber. Der Newcomer KVM, überhaupt erst seit 2007 am Start, ist den etablierten Mitbewerbern wie VMware und Xen technologisch inzwischen dicht auf den Fersen.

  • Von wegen tugendhaft

    Der Lateiner kennt "Virtus" als die Tugend, die es oft vorzutäuschen gilt, genau wie moderne Virtualisierungslösungen die Hardware. Jetzt droht auch Red Hat, mit dem Produkt RHEV mit- und die Konkurrenz aufzumischen. Doch die rote Tugend hat so manchen dunklen Fleck.

  • Spice

    Mit Spice, dem Simple Protocol for Independent Computing Environments, will Red Hat die Performance von Multimedia-Anwendungen auf Remote Desktops verbessern. Das Paket aus Terminalserver, Client und Protokoll ist zwar eigens für KVM entstanden, aber nicht mehr darauf beschränkt.

  • Qemu 2.5 verbessert Gastmigration und erlaubt 3D in VM-Gästen

    Qemu 2.5 bringt allerlei Neuerungen mit, zu den Highlights gehören der 3D-Modus von "virtio-gpu", der Multiqueue-Support für "vhost-user", die "postcopy"-basierte Livemigration und die QMP-Introspektion.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.