XenServer / VmWareServer Internet Host absichern

[soomon]

moin,

ich spiele mit dem gedanken auf einen rootserver esxi oder xenserver 5 zu installieren und dann ein paar vms zu hosten.

nun stellt sich natürlich die frage wie man so einen server absichert.
ich muss ihn ja mit der jeweiligen managementsoftware erreichen und konfigurieren können, jedoch soll natürlich nicht jeder der gerade rumscannt sehen dass das z.b. ein esxi ist und dann probieren mein passwort zu bruteforcen o.ä. .

wie macht man sowas also?
firewall und nur von bestimmten ip ranges aus verbindungen zulassen?
ist die verbindung der jeweiligen software zum server verschlüsselt?


klar kann ich mir eine vm auf dem server erstellen und die software dort installieren und mich per vpn verbinden, aber das mehrt natürlich die probleme, die entstehen können...

wie macht man sowas?

ich habe hier wenig erfahrungen und bin über jeden tipp dankbar ;)




thx & greets,
soomon

[papabaer]

Erster Gedanke von mir dazu: So weit ich das überblicke, lassen sich alle Virtualisierungs-Lösungen auch über Kommandozeile bedienen. Wenn es also nur um einen Server geht, würde ich den ganzen Kram mit Admin-GUIs stecken lassen und das Teil per ssh administrieren. Das erledigt so ziemlich jede Sicherheitslücke aus der Ecke.

Wenn es aus welchem Grund auch immer unbedingt per Management-Software laufen soll, dann würde ich die Dinger nie an die öffentliche IP des Servers hängen, sondern entweder an localhost binden oder als VPN betreiben.

Wenn du die Software an localhost, also 127.0.0.1 bindest, kannst du theoretisch nur vom Server selbst auf die Admin-GUI. Du würdest dir dann einen ssh-Tunnel vom Client auf den Server legen und das Ganze zu dir nach Hause durchleiten. Sicherheit ist in etwa auf dem Niveau von ssh selbst.

http://www.fedorawiki.de/index.php/SSH-Tunnel

Der andere Weg wäre VPN. Damit legst du quasi ein LAN bis zu deinem Server, über das nur du auf die Admin-GUI kommst. Richtig eingerichtet halte ich das für sogar noch ein Stück sicherer.

http://de.wikipedia.org/wiki/OpenVPN

Beide Lösungen sind hochgradig verschlüsselt und um einiges vertrauenswürdiger, als die GUI im öffentlichen Netz sichtbar zu haben (wenn debian die Schlüssel nicht wieder verkackt).

[soomon]

ha, vpn server und management server auf die vpn ip binden.
denke das klingt sehr gut =)
openvpn is kein problem für mich :)

danke dir!

[soomon]

eine frage hätte ich noch: geht das bei esxi auch so einfach?
das linux das drunter liegt ist ja bissel eingeschränkt.
beim kostenlosen xenserver hab ich quasi vollen zugriff aufs linux?

wenn ich nur linux virtualisieren möchte, empfehlt ihr mir dann xen? xen scheint ja einen ziemlichen fortschritt zu machen.
oder doch esxi?

[papabaer]

wenn ich nur linux virtualisieren möchte, empfehlt ihr mir dann xen? xen scheint ja einen ziemlichen fortschritt zu machen.
oder doch esxi?

Das ist absolut Geschmackssache. Du hast die Wahl zwischen Vollvirtualisierung (KVM, esxi, VirtualBox, ...), Paravirtualisierung (Xen) oder Containervirtualisierung (OpenVZ, lxc)

Ich persönlich würde zwischen KVM und OpenVZ wählen, je nach Randbedingungen. Da hat aber jeder seine eigenen Vorlieben.

[soomon]

das ist jetzt eher eine verwirrende antwort :DDD

also mein hoster bietet esxi und xenserver direkt als distribution an.
openvz müsste ich dann auf debian oder so nachinstallieren.

warum favorisierst du denn kvm und openvz und nicht vmware esxi oder xenserver?

[papabaer]

Wenn es nur darum geht Linux auf Linux zu virtualisieren, spart Containervirtualisierung ein Haufen Overhead, weil es nichts macht außer Prozesse zu isolieren. Das geht fix. OpenVZ ist stabil und simpel.

KVM ist bereits im Kernel. Durch Vollvirtualisierung kannst du einfach jedes OS in eine VM packen.

XEN ist Paravirtualisierung, da muss man an den VMs rumfummeln. Ich fand das, als ich es angetestet habe, irgendwie umständlich.

esxi ist nicht OpenSource. Soll aber angeblich ganz gut sein. Hab einfach keine Erfahrungen damit.

Alles persönliche Eindrücke. Wenn du XEN oder esxi vorinstalliert hast, give it a try.

[soomon]

joa es geht nur um linux.
bei openvz muss ich aber immer die gleiche distribution nutzen wenn ich es richtig verstanden habe?
esxi ist an sich schon sehr gut. auch das kostenlose. zumindest für den privaten gebrauch.
da stellt sich für mich nur die frage nach dem management. ich will ja ein vpn zu dem server aufbauen oder zumindest das management interface nach außen hin nicht zugänglich machen.
das wird bei xen dann eher gehen. muss ich aber auch ma ausprobieren :S

[papabaer]

bei openvz muss ich aber immer die gleiche distribution nutzen

Nope. Das geht auch durcheinander.

Zum VPN: Du brauchst halt die tun/tap-Kernel-Module. Die musst du bei Container-Virtualisierung für die VM freigeben, weil es ja dort keinen Kernel in der VM gibt. Ist aber auch mit einem Befehl erledigt (den ich gerade nicht im Koppp habe)

Was spricht gegen SSH-Tunnel? Das ist viel schneller gemacht.

[soomon]

hm jo dann nehm ich nen ssh tunnel.

vom speed her is also openvz das beste?

habe gelesen das z.b. java probleme machen kann, wenn es auf einmal viel ram frisst und dann andere vms mitbeeinträchtig. hast du sowas schonmal bemerkt?
ich brauche ubuntu und debian. das reicht mir eigentlich.

[papabaer]

vom speed her is also openvz das beste?

Also DAS Beste gibt es sowieso nie. Kommt immer drauf an, wie die Umstände sind. Ob nun in deinem Fall OpenVZ durch den geringen Overhead oder KVM durch Prozessor-Unterstützung schneller ist, musst du selbst rausfinden.

Das Problem mit den Ressourcen hast du bei Virtualisierung immer. Bzgl. RAM kannst du das umgehen, wenn du den Host nicht überbuchst, also mehr RAM verteilst, als real vorhanden ist.

Vollvirtualisierung kann zusätzlich helfen, Prozessorzeit zu garantieren.