Slysel jsem chvalu na virtualizacni nastroje, ktere udajne umoznuji pouziti internetu bez strachu z nakazy viry a malwarem - zkratka proto, ze system v nich jsou oddeleny od skutecneho systemu v hostitelskem pocitaci. Tyto ody se objevily predevsim na strankach casopisu CHip, kteremu vsak az tolik neduveruji. Rad bych vedel, jak je to ve skutecnosti. Zkusil jsme si nainstalovat VirtualBox - vse probiha a funguje, jak ma. Jak je to v takovychto pripadech vyreseno se sitovou bezpecnosti? Vzdyt preci hostitelsky pocitac musi byt stejne pripojen do site, aby mohl byt i host, ne? Predpokladam, ze z tohoto duvodu je nakaza mozna i v pripade, kdy vsechny webove aplikace (prohlizec, VOIP, mailovy klient atd.) jsou nainstalovany/pouzivany pouze ve virtualnim pocitaci. Je to tak? Je stale nutne pouzivat v hostiteli firewall a mit se na pozoru?
Dekuji predem za komentare!
Dekuji predem za komentare!
Bezpečnost je srovnatelná s tím, že máš v jednom segmentu sítě dva počítače a na jednom z nich je velké riziko, že je nakažen virem. Nákaza různými červy co využívají děr v OS teda možná je.
presne jak rika pavel_p - je to uplne stejne riziko, jako kdyz mas zavirovany nejaky pocitac na siti. obavy z toho, ze by se dalo zneuzit faktu, ze se jedna fyzicky o jeden pocitac a neco projiklo skrz virtualizaci mit nemusis, a i ta sit by se asi dala nastavit... je na vyber z NATu, bridge...
jinak prenosu viru po siti bych se az tak nebal, dnes je drtiva vetsina svinstev vazana na web a spoleha na to, ze jsou stejne vsichni on-line tak proc se otravovat s prenosem po CD, disketach, nebo obyc mistni siti?
jinak prenosu viru po siti bych se az tak nebal, dnes je drtiva vetsina svinstev vazana na web a spoleha na to, ze jsou stejne vsichni on-line tak proc se otravovat s prenosem po CD, disketach, nebo obyc mistni siti?
CHIPem - jakžto časopisu úrovně uznalá lamka bych moc nevěřil, jak říká mech13 - neměl by to být problém
Pomůže to proti virům, který se instalujou z webu anebo z mailu (pokud budete důsledně provozovat web a mail pouze z virtuální mašiny), hlavní vtip je v tom, že virus se může nainstalovat pouze do virtuální mašiny (tj. zaviruje pouze virtuální systém), ale nemá jak zavirovat hostitelský systém (pokud se bavíme o webu a mailu; samozřejmě, že na důkladnější zabezpečení by bylo potřeba dalších restrikcí, např. blokovat síťové spojení mezi virtuálním a hostitelským systémem, povolení přístupu na internet pouze virtualizační aplikaci a zablokování přístupu na internet všem ostatním aplikacím hostitelského systému, minimálně co se týče příchozí komunikace).
Podobného výsledku lze dosáhnout např. taky tím, že budete standardně provozovat systém pod uživatelským účtem s omezeným oprávněním (jak činím např. já), nikoliv administrátorským. Virus, ani dokonce explicitně spuštěný uživatelem z webové stránky anebo mailu, nemá pak možnost se zavést do systému, neboť nemá oprávnění např. zapsat soubor do adresáře Windows, přidávat programy spouštěné při startu Windows (kromě aktuálního uživatele) atd. Toto je preferovaný (a téměř vynucovaný) způsob práce pod systémy Linux, a jedna z velkých bezpečnostních slabin Windows, neboť systém (resp. aplikace) téměř nutí uživatele provádět standardní činnosti pod administrátorským účtem. Na vině jsou samozřejmě částečně výrobci programů (někdy mám dojem, že se tvůrce programu ani snad nikdy nepokusil spustit program pod kontem s limitovaným uprávněním, např. hry, které ukládají savy přímo pod svůj instalační adresář, kam nemá limited user standardně povolení zápisu, a nikoli do profilu uživatele - nastavení oprávnění tak, aby to chodilo, pak často není triviální záležitostí; ale i systémové aplikace, vyžadující administrátorská oprávnění, které by bylo možno naprogramovat lépe, např. s využitím Services). Velkou část viny ovšem nese i výrobce systému, který více nenutí využívání limitovaných kont, a nechává uživatele (a tedy i programátory software) pracovat bez problémů pod administrátorským kontem. Sám jako programátor i pod Windows pracuji právě z těchto důvodů pod limitovaným kontem.
Podobného výsledku lze dosáhnout např. taky tím, že budete standardně provozovat systém pod uživatelským účtem s omezeným oprávněním (jak činím např. já), nikoliv administrátorským. Virus, ani dokonce explicitně spuštěný uživatelem z webové stránky anebo mailu, nemá pak možnost se zavést do systému, neboť nemá oprávnění např. zapsat soubor do adresáře Windows, přidávat programy spouštěné při startu Windows (kromě aktuálního uživatele) atd. Toto je preferovaný (a téměř vynucovaný) způsob práce pod systémy Linux, a jedna z velkých bezpečnostních slabin Windows, neboť systém (resp. aplikace) téměř nutí uživatele provádět standardní činnosti pod administrátorským účtem. Na vině jsou samozřejmě částečně výrobci programů (někdy mám dojem, že se tvůrce programu ani snad nikdy nepokusil spustit program pod kontem s limitovaným uprávněním, např. hry, které ukládají savy přímo pod svůj instalační adresář, kam nemá limited user standardně povolení zápisu, a nikoli do profilu uživatele - nastavení oprávnění tak, aby to chodilo, pak často není triviální záležitostí; ale i systémové aplikace, vyžadující administrátorská oprávnění, které by bylo možno naprogramovat lépe, např. s využitím Services). Velkou část viny ovšem nese i výrobce systému, který více nenutí využívání limitovaných kont, a nechává uživatele (a tedy i programátory software) pracovat bez problémů pod administrátorským kontem. Sám jako programátor i pod Windows pracuji právě z těchto důvodů pod limitovaným kontem.
No s tím tak úplně nesouhlasím, instalace programů uživatelem v Linuxu vyžaduje snad znalosti nadprůměrného správce. Natožpak instalace sdílených knihoven. Ve Windows mají aspoň některé aplikace takový návrh, že je stačí pouze rozbalit, spustit a zapisují do uživatelské části registru a svého adresáře.
Pochopitelně blbost tvůrců některých programů nezná mezí a může se stát že program v ceně 1000Kč potřebuje práva administrátora jen kvůli zápisu do registrů, což je při přihlášení do domény úplně skvělé. Že jsem za to asi 3x zdrbal technika technické podpory nemělo žádný efekt. Obhajoba byla, že program potřebuje jednoznačně určit uživatele a musí se bránit proti jejich přepínání vícenásobným přihlášením.
Pochopitelně blbost tvůrců některých programů nezná mezí a může se stát že program v ceně 1000Kč potřebuje práva administrátora jen kvůli zápisu do registrů, což je při přihlášení do domény úplně skvělé. Že jsem za to asi 3x zdrbal technika technické podpory nemělo žádný efekt. Obhajoba byla, že program potřebuje jednoznačně určit uživatele a musí se bránit proti jejich přepínání vícenásobným přihlášením.
