Назад | Перейти на главную страницу

Виртуальные машины - можно ли восстановить замененное ядро ​​без восстановления?

Я использую виртуальные машины Linux (Wheezy, Linux Vserver), каждая из которых имеет среду рабочего стола, включая Firefox.

Если виртуальная машина, на которой будет взломана (например, SQL-инъекция), поэтому ядро ​​взломано и управление перешло к виртуальной машине (а не к хосту), можно перестроить виртуальную машину и переместить данные на восстановленную виртуальную машину для устранения проблемы.

В: Это может быть глупый вопрос, но возможно ли вместо этого скопировать некоторые файлы в скомпрометированную виртуальную машину (например, чистую версию всего в /boot раздел)? С самого начала виртуальные машины довольно жестко заблокированы.

Аргумент здесь в том, что это может быть немного быстрее, чем восстановление виртуальной машины. Или «правильный ответ» может быть «нет, вам нужно перестроить виртуальную машину, чтобы убедиться, что она не была взломана». Если бы стоило рассмотреть альтернативный подход, что нужно было бы перезаписать и заменить, чтобы получить «свежее» ядро?

Я не согласен. Я подозреваю, что было скомпрометировано пользовательское пространство виртуальной машины, а не ядро.

В любом случае вы, вероятно, никогда не узнаете, что это было, поэтому самый безопасный способ сделать это - сбить его с орбиты.

Вы можете восстановить предыдущий снимок до состояния последней удачной конфигурации.

Во-первых, вам нужно точно знать, что изменилось без вашего разрешения. Если бы мне пришлось разработать такую ​​систему, как вы хотите, я бы:

  • Поддерживать криптографические хэши запущенных файлов ядра, которые состоят из содержимого /boot в моей системе Ubuntu
  • Поддерживайте хэши всех установленных в системе библиотек, приложений, двоичных файлов и т. Д., Которые не являются частью развернутых собственных письменных приложений.
  • Эти хэши должны храниться вне машины и часто сравниваться.
  • Знайте, что обновления будут вызывать предупреждения, и устраняйте их вручную.

Или я бы выбрал гораздо более простой способ быстрого воссоздания новой виртуальной машины без ручной настройки (Chef, Puppet и т. Д.), А затем развернул бы свои собственные приложения (в основном веб-приложения в моем случае и содержимое базы данных. ) быстро и легко на новую виртуальную машину.

Я думаю, что, хотя все вышеперечисленное можно сделать, и это может помочь вам определить, когда что-то изменилось, что имеет решающее значение для того, чтобы знать, что вы были скомпрометированы, гораздо труднее отменить эти изменения в воспроизводимом, среднем катастрофическим образом. Сохранение всей конфигурации машины в какой-нибудь системе для создания машин, такой как Chef, позволяет развернуть новую виртуальную машину достаточно быстро, что в конечном итоге, вероятно, сэкономит вам много времени.