Re: Frage bzgl. Netzwerk und virtuellen Maschinen mit KVM bzw. libvirt
Hallo,
Christian Schoepplein <chris@schoeppi.net>:
>ich habe einen Host mit dem neusten Ubuntu auf dem ich gern ein mit KVM
>virtualisiertes Ipfire betreiben würde.
>- Der Host hat zwei Netzwerkkarten, eth0 ist eine PCI Karte, eth1 ein
>per USB angeschlossener Netzwerkadapter
>- eth0 soll als Karte für das interne Netzwerk dienen, also auf Host und
>Gast, eth1 soll lediglich im ipfire-Gast die Internetverbindung
>bereitstellen und am besten auf dem Host überhaupt nicht ansprechbar
>sein
>----- /etc/network/interfaces -----
>iface br0 inet static
>[...]
> broadcast 192.168.1.255 gateway 192.168.1.100
Das sollte in zwei getrennten Zeilen stehen.
Ansonsten sieht die Konfiguration gut aus.
>- Wie kann ich auf dem Host eth1 bzw. br1 so einrichten oder
>einschränken, dass das echte Device (wie geschrieben ein
>USB-Netzwerk-Adapter) nur im virtuellen Ipfire verwendet werden kann?
Das hast du bereits getan, indem br1 auf dem Host keine IP-Adresse hat.
Wenn es nicht noch eine IPv6 Adresse bekommen hat (prüfen mit ifconfig eth1),
dann kann kein Benutzer außer root irgend etwas damit machen.
>Ich habe irgendwo gelesen, dass Hardware direkt an eine virtuelle
>Maschine durchgereicht werden kann und so auf dem Host nicht mehr
>verwendbar ist, stimmt das und geht das auch für USB-Geräte?
Prinzipiell geht das. Siehe
http://www.linux-kvm.org/page/USB_Host_Device_Assigned_to_Guest
Dabei wird aber ein USB Device emuliert, der Gast benötigt entsprechende
Treiber und die Performance sinkt gegenüber einem Netzwerkdevice mit
virtio-net.
Ein Sicherheitsgewinn ist es nicht. Denn wenn ein Angreifer root auf
dem Host geworden ist, kann er einfach die VM beenden und das Device
selber nutzen.
Gruß, Harald
Reply to: