Будет ли установка гостевых дополнений представлять угрозу безопасности для ОС хоста?
Наверное. Однозначно в vmware-tools. Буфер копирования / вставки и области общей памяти клавиатуры / мыши обеспечивают доступ к хосту. Если виртуальная машина имеет root-права, просто определить тип используемой виртуализации и взломать / установить свои собственные клиентские инструменты. AFAIK, только у vmware был пример кода для взлома этих каналов API, и это было исправлено в течение довольно долгого времени.
При этом изменения в том, что вас взламывают таким образом, вероятно, близки к нулю. Я бы не стал беспокоиться, пока мы не начнем видеть опубликованные хаки с использованием этих методов. Или, скорее, есть много других вещей, на которые можно потратить время в первую очередь. Общий доступ к файлам, без использования DMZ, неправильный межсетевой экран, слабые пароли, неправильные права доступа к файлам - все это более важно.
Всегда помните, что взлом социальных сетей, неправильно настроенные системы, недовольные сотрудники и простая глупость (продажа жестких дисков с загруженными данными на ebay, пароль, прикрепленный к монитору и т. Д.) Являются основными четырьмя точками входа для большинства известных крупных взломов системы.
Вот один, были и другие - VMWARE - повышение привилегий VMCI на хостах под управлением Windows или гостевых системах под управлением Windows.
OpenBSD придерживается правильного отношения. Не устанавливайте его, если это абсолютно необходимо. Вы можете самостоятельно установить сетевой драйвер из клиентских инструментов. «Безопасные» виртуальные машины не должны иметь общего доступа к файлам, консолей и т. Д.
Гость находится в песочнице. Гостевые дополнения устанавливаются на гостевую ОС. Я не понимаю, как это представляет больший риск для безопасности, чем наличие этой машины в вашей сети в качестве физической системы ... Я полагаю, вы могли бы придумать несколько сценариев более прямой угрозы, если у вас есть диск между хостом и гостем общий доступ включен.
В противном случае ... почему вы думаете, что это угроза безопасности?
Я не могу придумать ни одной причины, по которой это могло бы быть. «Гость», кстати, относится к гостевой операционной системе, а не к гостевым пользователям.
Гостевые дополнения - это набор драйверов для дисплея, мыши и т. Д., Улучшающий функциональность этих элементов.
В любом программном обеспечении есть уязвимости, и программное обеспечение для виртуализации ничем не отличается. Тем не менее, уязвимости в настоящее время трудно устранить, они малоизвестны или понятны, поэтому не представляют большой угрозы. Существует угроза того, что пользователь может попытаться «сломать» виртуализированную песочницу; однако, как я уже упоминал, в настоящее время это маловероятно.
Самый большой риск для вас - это компрометация хост-ОС или гостевой ОС, а не самого программного обеспечения виртуализации.
... а как насчет хостов linux?
Эксплойты действуют в каналах данных и в общей памяти. ОС хоста сама по себе не имеет значения. Это задействованный индивидуальный код и элементы управления доступом / разрешения на хосте. (selinux / apparmor / tomoyo для Linux)