Яка інформація про хост vmware доступна гостю?

У тому vmware Workstation, яка інформація про програмне забезпечення та програмне забезпечення хоста стає доступною для гостьової ОС.

Для цілей моєї програми я стурбований тим, що процес у гостьовій ОС отримує інформацію про фізичне обладнання, де працює хост. Це може включати деталі, такі як серійні номери, MAC-адреси чи будь-що, що може ідентифікувати фізично працюючий комп'ютер.

І хост, і гість будуть працювати з Ubuntu Linux.

Редагувати: vmware-toolsбуде встановлено на гостях

Редагування 2: Додавання величини

Я провів багато досліджень з цього питання, і в більшості відповідей в них є слова типу "не слід". Мені потрібно з певною мірою знати, що гість vmware не може побачити жоден із наведених нижче пунктів (При цьому, якби ці речі були доступні гостю, це вважатиметься масовим порушенням безпеки)

• будь-які серійні номери обладнання
• mac адреси хостових мережевих інтерфейсів
• реєстраційний серійний номер програмного забезпечення vmware
• будь-які файли в операційній системі хоста

Мотивація цього питання полягає в тому, що мені потрібно запустити якесь надто недовірене програмне забезпечення, і я хочу його відібрати від будь-якої інформації, яка могла б розкрити мою особу. Наприклад, я припускаю, що це програмне забезпечення спробує прочитати серійний номер мого процесора та повідомити його своєму творцю, і я припускаю, що це може призвести до сліду до моєї реального світу. Назвіть цього параноїка, якщо хочете. Частина моєї ситуації вимагає встановлення vmware-інструментів.

Інформація про хазяїна може просочуватися до гостя різними способами. VMware (і продукти віртуалізації взагалі) забезпечують захист від багатьох речей. Хоча навряд чи вдасться забезпечити повне ізоляційне середовище, це, ймовірно, справляється досить добре. Наприклад, деякі дослідники вірусів використовують VMware, щоб забезпечити безпечне середовище для вивчення поведінки шкідливих програм .

Інформація про хоста може просочитися до гостя:

• якщо гість безпосередньо виконує вказівки, що шар віртуалізації не перехоплює.
• якщо гість може спостерігати мережевий трафік безпосередньо на тому ж сегменті мережі, що і хост.
• якщо гість може поспілкуватися із зовнішнім світом та повернутися до господаря.

Ваша основна стурбованість, як видається, стосується першого методу витоку, хоча ви також повинні бути впевнені, щоб захистити від інших механізмів.

VMware (та інші гіпервізори) забезпечують віртуалізацію, перехоплюючи те, що вважається чутливими інструкціями. Чутливі вказівки або розкриватимуть гостям інформацію про хоста, або дозволять гостям уникнути обмеження шару віртуалізації. Наприклад, інструкція, що змінює базу таблиці сторінок (яка контролює доступ до пам'яті), повинна бути виявлена ​​шаром віртуалізації, перехоплена і замінена на "безпечну" версію цієї інструкції, яка зберігає ілюзію віртуалізації.

Для забезпечення ілюзії окремої машини від хоста, віртуалізовані також інструкції, що розкривають ідентифікаційну інформацію про хост (такі як серійні номери, MAC-адреси тощо). У VMware ці речі можна встановити у vmxфайлі. Цей матеріал добре зрозумілий і, мабуть, безпечний.

Іноді трапляються компроміси щодо того, що піддається впливу, наприклад, інструкція CPUID, яка останніми версіями VMware забезпечує певний "захист" від. (Див. Сумісність VMotion та процесора для отримання детальної інформації про віртуалізацію CPUID.) Якщо виконується як привілейована інструкція, це може бути захоплено та емульовано, але воно також може бути виконано як власна інструкція, яка може викрити гостьову інформацію (імовірно нецікаву). .

Однак гість може також пасивно дізнатися іншу інформацію про господаря. Наприклад, зондуючи таймінги пам'яті, гість може отримати інформацію розміром різних кешів. Можливість дізнаватися про інших гостей (або господаря) за допомогою таймінгу та інших векторів («бічних каналів») - область активних досліджень. У жовтні 2012 року дослідники виявили, що насправді можливо витягнути криптографічні ключі з інших ВМ . Це може бути досить страшно, і межі того, що можна виявити та як захистити від цього, ще не зовсім зрозумілі.

Найкращий спосіб бути повністю захищеним - це ізолювати вашу машину через повітряний зазор від решти світу. Тоді не має значення, чого вивчає шкідливе програмне забезпечення, оскільки воно не може передавати цю інформацію нікому. Коли ви закінчите, витріть машину. Використання такого інструменту, як VMware, полегшує це витирання та відновлення стану, оскільки стан машини інкапсульовано у набір файлів.

Гість не повинен нічого знати про настройки хоста, такі як його мережі, тому що йому передається віртуальний hw, який повинен (майже) точно так само, як фізичний hw. Однак деякі речі, такі як процесор, гість повинен знати, але це знання не повинно загрожувати безпеці.

Отже, якщо є якась інформація про налаштування, що протікає від хоста до гостя, це буде отвір для безпеки.

Якщо ви ввімкнете hgfs (файлову систему хост-гість), то принаймні частина файлової системи хоста буде видно у гості, і можна отримати деяку інформацію про хост. Вам слід відключити це, якщо вас турбує.

Це все не може мати значення звичайно, оскільки в більшості випадків робоча станція використовується особисто, тобто у будь-якому випадку ви маєте доступ до хоста. Інакше вам слід шукати віртуалізацію сервера (vsphere, xen, kvm).

Стаття Як витягнути інформацію про хост із VM? описує утиліти під ESX (i) / vSphere, які гість може використовувати для отримання інформації про хост. Це обов'язково обмежене сферу застосування з міркувань безпеки.

Перша утиліта - команда VMware Toolbox. Він надає деяку інформацію про ESX (i) та конфігурацію guestOS, включаючи основні статистичні дані про ресурси.

UNIX/Linux - /usr/bin/vmware-toolbox-cmd
Windows - C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe

Друга - утиліта vmtoolsd (VMware Tools Daemon), де параметр "info-get" може отримати набір відомостей про гості у файлі конфігурації .vmx віртуальної машини або у пам'яті VMX під час роботи віртуальної машини.

UNIX/Linux - /usr/bin/vmtoolsd
Windows - C:\Program Files\VMware\VMware Tools\vmtoolsd.exe