1 votes

user185637 avatar

Machines virtuelles - Est-il possible de restaurer le noyau de remplacement sans le reconstruire ?

Demandé el 28 de Janvier, 2014
Quand la question a-t-elle été
150 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'utilise des machines virtuelles Linux (Wheezy, Linux Vserver), chacune avec un environnement de bureau comprenant Firefox.

Si une machine virtuelle venait à être compromise (par exemple, Injection SQL ) si le noyau est piraté et que le contrôle a été pris sur la VM (et non sur l'hôte), il est possible de reconstruire la VM et de transférer les données sur la VM reconstruite pour résoudre le problème.

Q : C'est peut-être une question idiote, mais est-il possible, comme alternative, de copier certains fichiers dans la VM compromise (par exemple, une version propre de tout ce qui se trouve dans le /boot partition) ? Les VMs sont assez bien verrouillées pour commencer.

L'argument étant que cela pourrait être un peu plus rapide que de reconstruire la VM. Ou bien, la "bonne réponse" peut être "non, vous devez reconstruire la VM pour être sûr qu'elle n'a pas été compromise". Si l'approche alternative valait la peine d'être envisagée, que faudrait-il écraser et remplacer pour avoir un noyau "frais" ?

Demandé el 28 de Janvier, 2014 par user185637

Réponses

Trop de publicités?

0voto

Jim avatar
Jim Points 53

Tout d'abord, vous devez savoir exactement ce qui a été modifié sans votre permission. Si je devais concevoir un système comme celui que vous voulez, je le ferais :

  • Maintenir les hachages cryptographiques des fichiers du noyau en cours d'exécution, qui consistent en le contenu de /boot sur mon système Ubuntu
  • Maintenir les hachages de toutes les bibliothèques, applications, binaires, etc. installés sur le système qui ne font pas partie des applications écrites en interne déployées.
  • Faites maintenir ces hachages hors machine et comparez-les fréquemment.
  • Sachez que les mises à niveau déclencheront des alertes, et résolvez-les manuellement.

Ou bien, je choisirais une approche beaucoup plus simple, qui consiste à disposer d'un moyen de recréer rapidement une nouvelle VM, sans configuration manuelle (Chef, Puppet, etc.), puis de déployer rapidement et facilement mes applications personnalisées (principalement des applications web dans mon cas et des contenus de bases de données) sur la nouvelle VM.

Je pense que s'il est possible de faire tout ce qui précède, et que cela peut vous aider à détecter quand quelque chose a changé, ce qui est essentiel pour savoir que vous avez été compromis, il est beaucoup plus difficile d'être capable de défaire ces changements de manière reproductible, au milieu d'un désastre. Conserver toute la configuration de la machine dans un système de création de machines comme Chef vous permet de faire tourner une nouvelle machine virtuelle assez rapidement pour vous faire gagner beaucoup de temps au final.

Répondu el 28 de Janvier, 2014 par Jim (53 Points )

0 votes

Avatar de user185637

Merci Michael - j'apprécie la réponse. Pour l'instant, remplacer un invité vserver prend environ 10 minutes, ce qui n'est pas mal, mais j'espérais quelque chose de plus rapide. Mais cela semble être l'approche à adopter - merci encore !

Commenté el 28 de Janvier, 2014 par user185637

0 votes

Avatar de Jim

Beaucoup d'administrateurs utilisent l'approche "nuke it from orbit, it's the only way to be sure" pour les brèches de sécurité. De plus, cela vous permet de conserver l'ancienne VM à des fins médico-légales, car elle reste pratiquement intacte, si ce n'est pour désactiver les connexions à distance pendant que vous transférez les données.

Commenté el 28 de Janvier, 2014 par Jim

0voto

Pablo Venturino avatar
Pablo Venturino Points 1660

Je ne suis pas d'accord. Je soupçonne que c'est l'espace utilisateur de l'invité VM qui a été compromis, plutôt que le noyau.

Dans tous les cas, vous ne saurez probablement jamais lequel c'était, donc la chose la plus sûre à faire est de le faire exploser depuis l'orbite.

Vous pouvez restaurer un snapshot antérieur à un état de la dernière configuration connue

Répondu el 28 de Janvier, 2014 par Pablo Venturino (1660 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X