ibbe-emme
Goto Top

Virtuelle Maschine vor dem Admin schützen

Kann ich eine virtuelle Maschine so konfigurieren, daß der Admin des Hosts ihre Festplatte nicht lesen kann, auch nicht, wenn sie läuft?
Konkret soll ein Linux auf einem Windows 2008R2-Server laufen.

Ich denke an VHD oder VMWare, für andere Lösungen bin ich offen.

EDIT
Damit die Spekulationen ein Ende haben.
Hier soll ein Webserver im Intranet eine Anwendung bereitstellen.
Auf Wunsch der Firma, mit vollem Wissen des Administrators.

Der Administrator soll meine VM bereitstellen und für automatischen Start bei Neustart des hosts sorgen, darf aber keinen Zugriff auf Festplatte der VM haben.

Content-Key: 294771

Url: https://administrator.de/contentid/294771

Printed on: April 13, 2024 at 12:04 o'clock

Member: Vision2015
Vision2015 Jan 31, 2016 at 07:13:46 (UTC)
Goto Top
Guten Morgen,

wenn der admin die festplatte nicht lesen darf, ist da doch meist was faul!
wer soll den darauf zugriff haben ?

Frank
Member: TlBERlUS
TlBERlUS Jan 31, 2016 at 07:25:37 (UTC)
Goto Top
Guten Morgen,

1. falls Firma: Ist das mit der GF abgestimmt?
2. Dir ist bewußt, dass er sich im Zweifel die VM kopieren kann und auf seiner Testumgebung/wasauchimmer starten kann, um zu gucken, was du da anzettelst?

Grüße,

Tiberius
Member: affabanana
affabanana Jan 31, 2016 at 08:21:01 (UTC)
Goto Top
Du könntest bei der Installation des Linux die Verschlüsselung der gesamten Festplatte machen.
Dann kann der Admin nicht viel auslesen.

Aber die VHD oder VMDK Datei kann er halt immer wegkopieren.

Aber du solltest ihn schon zuerst fragen, bevor du sowas installierst.
Da man dem User eigentlich keine Admin rechte gibt.

Genau wegen so komischen Sachen wie du sie gerade hier anstellen möchtest.
Member: tomolpi
tomolpi Jan 31, 2016 at 08:43:11 (UTC)
Goto Top
Der Admin vom Host hat Zugriff auf alle seine Dateien - ergo auch auf deine VHD!
Member: Penny.Cilin
Penny.Cilin Jan 31, 2016 at 09:28:28 (UTC)
Goto Top
*keine begrüssung

nichts für ungut. Wen ich Administrator der Virtualisierungslösung wäre, und Du würdest ungefragt eine VM erstellen und ich habe keine Zugriff, wäre die VM ganz schnell wieder gelöscht.

So etwas geht garnicht. Und erst recht nicht in Firmenumgebungen.

Rede mit dem Administrator und Deinen Vorgesetzten. Erkläre Ihnen was Dein Anliegen ist und warum.

Es kann und darf nicht sein, daß jemand einen Rechner installiert (auch wenn es eine VM ist), ohne Kenntnis des bzw. der Administratoren.

Wir hatten hier auch vor 14 Tagen hier im Unternehmen die gleiche Situation. Ohne Information tauchte plötzlich eine neue VM auf. Die haben wir dann runter gefahren, gesichert und gelöscht. Anhand der Protokolle konnten wir den Mitarbeiter identifizieren. Da er keine Erklärung darüber abgeben wollte, hat er eine Abmahnung erhalten.


Gruss Penny
Member: tomolpi
tomolpi Jan 31, 2016 at 09:30:51 (UTC)
Goto Top
Zitat von @Penny.Cilin:
Wir hatten hier auch vor 14 Tagen hier im Unternehmen die gleiche Situation. Ohne Information tauchte plötzlich eine neue VM auf. Die haben wir dann runter gefahren, gesichert und gelöscht. Anhand der Protokolle konnten wir den Mitarbeiter identifizieren. Da er keine Erklärung darüber abgeben wollte, hat er eine Abmahnung erhalten.

Waas?! Wurde Mitarbeiter haben Zugriff auf die Hosts?
Member: Penny.Cilin
Penny.Cilin Jan 31, 2016 at 09:48:13 (UTC)
Goto Top
@tomolpi:

Ja, das ist richtig.

Da ist in der Vergangenheit etwas übersehen worden. Das ziehen wir grade alles nach und nach richtig.
Da sind noch mehr offene Baustellen. Ich habe schon eine ganze Liste an Verbesserungsmöglichkeiten.

Da muss ich noch sehr viel Überzeugungsarbeit lesiten, grade bei den Entscheidungsträgern.
Man ist sich dort den Risiken, Verantwortichkeiten und den Konsequenzen gar nicht richtig bewusst.


Gruss Penny
Member: Anton28
Anton28 Jan 31, 2016 at 09:58:50 (UTC)
Goto Top
Servus wer auch immer Du bist,

ich kann mich meinen Vorrednern nur anschließen.

Das geht in einer produktiven Umgebung gar nicht.

Stehst Du dafür gerade, wenn Deine VM aus irgendeinem Grund die ganze Produktion schmeißt ?

Was ist der Sinn hinter Deiner Frage ?
Was willst Du erreichen ?

Erläutere mal näher was Du im Schilde führst !

Gruß

Anton
Member: tomolpi
tomolpi Jan 31, 2016 at 10:02:22 (UTC)
Goto Top
Zitat von @Penny.Cilin:

@tomolpi:

Ja, das ist richtig.

Da ist in der Vergangenheit etwas übersehen worden. Das ziehen wir grade alles nach und nach richtig.
Da sind noch mehr offene Baustellen. Ich habe schon eine ganze Liste an Verbesserungsmöglichkeiten.

Da muss ich noch sehr viel Überzeugungsarbeit lesiten, grade bei den Entscheidungsträgern.
Man ist sich dort den Risiken, Verantwortichkeiten und den Konsequenzen gar nicht richtig bewusst.

Wäre für mich ein absolutes No-Go, vorallem wenn du User hast die gerne experimentieren, wieviel eine VM aushält face-wink
Member: Penny.Cilin
Penny.Cilin Jan 31, 2016 at 10:38:53 (UTC)
Goto Top
Deswegen bin ich ja dort. Um die Fehler der Vergangenheit zu korrigieren.
Member: Lochkartenstanzer
Lochkartenstanzer Jan 31, 2016 updated at 12:45:54 (UTC)
Goto Top
Zitat von @Ibbe-Emme:

Kann ich eine virtuelle Maschine so konfigurieren, daß der Admin des Hosts ihre Festplatte nicht lesen kann, auch nicht, wenn sie läuft?
Konkret soll ein Linux auf einem Windows 2008R2-Server laufen.

Ich denke an VHD oder VMWare, für andere Lösungen bin ich offen.

Was glaubst Du, warum der Admin Admin heißt. face-smile

Der Admin hat volle Kontrolle über den Host und damit über alle Betriebsmittel. Du kannst höchstens verschleiern, was Du machst aber nciht den Admin davon abhalten, Deienn Speicher udn Deine daten zu lesen.

lks

PS. Über die möglichen rechtlichen und sonstigen Implikationen Deiner Frage will ich mal gar nicht spekulieren.
Mitglied: 117471
117471 Jan 31, 2016 at 13:36:35 (UTC)
Goto Top
Zitat von @Ibbe-Emme:

Kann ich eine virtuelle Maschine so konfigurieren, daß der Admin des Hosts ihre Festplatte nicht lesen kann, auch nicht, wenn sie läuft?

Ja, man kann. Wenn man den Kompromiss eingeht, dass man für jeden Neustart (Windows-Updates) das Kennwort für die Festplattenverschlüsselung eingeben muss.

Was mich an deiner Frage etwas stört ist, dass das etwas ist, was jeder Computer-BILD-Wald-und-Wiesen-Administrator aus dem stehgreif beantworten und innerhalb von 15 Minuten (Verschlüsselungszeit ausgerechnet) umsetzen kann.

Auch dass dies deine erste Frage in diesem Forum ist stärkt den Eindruck, dass Du mit unglaublichen Pragmatismus an etwas herangehst, was Dich eigentlich überfordert. Und dass Du einen Ansprechpartner (="Admin") hast, den Du offenbar nicht ins Vertrauen ziehen willst, weckt nicht gerade Vertrauen.

Hier im Forum wirst Du in erster Linie Administratoren treffen, deren "Hauptprodukt" - neben der Fachkompetenz - das Vertrauen anderer Menschen ist. Ich glaube nicht, dass sich jemand hier großartig wohl fühlt mit dem Gedanken, Dich in deinem Vorhaben zu unterstützen.

Anders ausgedrückt: Du bist in einem Forum voller Polizisten und fragst allen Ernstes, wie man Überwachungskameras in Banken effektiv außer Betrieb setzt. Tipp: Versuch 's doch mal mit dem Polaroid-Foto von der leeren Bank, dass Du mit einem Metallrahmen vor die Linse klebst...^^
Member: Ibbe-Emme
Ibbe-Emme Jan 31, 2016 updated at 15:21:10 (UTC)
Goto Top
Es geht doch hier gar nicht darum, irgendwas am Admin vorbei zu installieren.

Ausgangsfrage neu gestellt:
Hier soll ein Webserver im Intranet eine Anwendung bereitstellen.
Auf Wunsch der Firma, mit vollem Wissen des Administrators.

Der Administrator soll meine VM bereitstellen und für automatischen Start bei Neustart des hosts sorgen, darf aber keinen Zugriff auf Festplatte der VM haben.
Eingabe des Kennwort für die Festplattenverschlüsselung kommt nicht in Frage, der Admin soll die Festplatte nicht entschlüsseln können.
Member: Pjordorf
Pjordorf Jan 31, 2016 updated at 15:34:28 (UTC)
Goto Top
Hallo,

Zitat von @Ibbe-Emme:
Es geht doch hier gar nicht darum, irgendwas am Admin vorbei zu installieren.
Doch, siehe deine eigene Erklärung. Du hast etwas zu Verbergen, oder die Geschäftsleitung traut ihrem eigenen Admin nicht über den weg, oder der Admin soll sich bestimmtes Wissen bez. Webseiten deren Aufbau und oder Konfiguration deines Web Servers nicht aneignen bzw. Ansehen weil er dich als Stümper entlarven könnte. Gründe ließen sich für und gegen deine Argumente fast ohne ende finden, nur was der wirkliche Grund ist - Misstrauen.

Hier soll ein Webserver im Intranet eine Anwendung bereitstellen.
OK.

Auf Wunsch der Firma, mit vollem Wissen des Administrators.
OK.

Der Administrator soll meine VM bereitstellen und für automatischen Start bei Neustart des hosts sorgen
Auch OK und eher Standard.

darf aber keinen Zugriff auf Festplatte der VM haben.
Und jetzt kommt Misstrauen ins Spiel. Irgendjemand hat ein Geheimnis was keiner Wissen soll.

Verschlüsselt die Platten damit diese Offline nicht ausgelesen bzw. in Klarschrift gelesen werden können (Eigene Platten für deine VMs). Verschlüsselt die VMs. Nutze Kennwörter welche weder der Admin noch ein andere kennen kann und tut (niemals). Lasse niemals ein Exploit zu und nutze alle erdenklichen Logs um nachzuweisen das jemand anderes an dein System rumgespielt hat. Misstrauen geht merkwürdige Wege - auch anderes herum.....

Habt ihr einen Admin der (zu) neugierig ist oder an Sachen rumfummelt wo er es nicht soll - einen neuen Admin einkaufen bzw. austauschen. Wenn deine GF kein Vertrauen zum Admin mehr hat, hilft dieses Konstrukt nur ein paar Tage

Gruß,
Peter
Member: Ibbe-Emme
Ibbe-Emme Jan 31, 2016 updated at 15:47:35 (UTC)
Goto Top
Es gibt nunmal verschlüsselte Webanwendungen.
In die kann der Admin nicht reinsehen.
Member: maretz
Solution maretz Jan 31, 2016 updated at 15:50:27 (UTC)
Goto Top
Liebe Leute,

Warum ist das so schwer zu glauben das ein Admin ggf. auf eine VM nicht zugreiffen darf? Einfaches Beispiel ist wenn ein Rechteinhaber dies z.B. verlangt. Z.B. bei Video-Streaming kann das durchaus vorkommen. Da verlangt dann der Rechteinhaber genau zu wissen wer Zugriff auf die Filme hat - und da kann es eben auch passieren das der Admin da nicht bei ist.

Zur Lösung: Wenn der Admin keinen Zugriff darauf haben darf dann muss die Platte natürlich verschlüsselt sein und nur der berechtigte Mitarbeiter kann/darf die dann entschlüsseln können. D.h. Passwort beim Start oder beim öffnen des Containers. Ich persönlich würde eine eigene Video-Partition erstellen die verschlüsselt ist. Natürlich könnte ggf. der Admin noch unter Einsatz von Tools da an die Passwörter kommen, DAS ist aber gar nicht das Problem (wenn der Admin das macht dann macht der sich selbst Strafbar) und die Videos sind im normalfall innerhalb der Partition auch geschützt.

Wenn das im Zusammenspiel mit dem Admin passiert würde ich die VM zusammen mit dem Admin aufsetzen und erst zum Schluss die Passwörter abändern. So ist auch sichergestellt das eben gewisse Prozesse eingehalten werden. Beim Patch-Management kann man ja z.B. eine Info generieren und per Mail an den Admin senden lassen. Es ist auch kein Problem einen Agent z.B. Für das zentrale Monitoring-Tool zu installieren (solang das keinen Shell-Login erfordert).

Von daher: Machbar ist das - und auch nicht immer automatisch was böses. Auch wenn der ein oder andere Admin hier sich scheinbar gern als Gott sieht der auf alles Rechte haben will und muss, es gibt durchaus Anwendungsfälle bei denen auch der Admin nix zu melden hat. Und bevor jetzt kommt das der ja für den Server verantwortlich ist: Auch da kann man durchaus Sonderregeln haben - und wenn der Anwender "seinen" Video-Server nutzt um da auch illegale Daten mit zu streamen wird den der Rechteinhaber sicher schneller als jeder Admin zum Gespräch bitten...
Member: Ibbe-Emme
Ibbe-Emme Jan 31, 2016 updated at 16:00:16 (UTC)
Goto Top
Es geht hier tatsächlich um urheberrechtlch geschütztes Material.

Ist diese denn nun möglich:
"Der Administrator soll meine VM bereitstellen und für automatischen Start bei Neustart des hosts sorgen, darf aber keinen Zugriff auf Festplatte der VM haben"

Die Frage ist noch nicht gelöst!
Mein unwissender Klick bei maretz Beitrag (Danke!) auf "zur Lösung beigetragen" hat die Frage für mich unerwartet als gelöst markiert.
Member: ChriBo
ChriBo Jan 31, 2016 at 16:23:35 (UTC)
Goto Top
"Der Administrator soll meine VM bereitstellen und für automatischen Start bei Neustart des hosts sorgen, darf aber keinen Zugriff auf Festplatte der VM haben"
Nein.
Euer Admin stellt euch virtuelle Hardware, Festplattenplatz etc. auf der von ihm verwalteten Infrastruktur zur Verfügung.
Er wird also jederzeit Zugriff auf die (virtuellen) Festplatte haben und kann auf sie ggf. jederzeit physikalisch zugreifen. Virtualisierung eben, mit der Möglichkeit Snapshots zu erzeugen, Sicherungen durchzuführen etc.
-
Falls der Admin nur nicht auf schützenswerten Inhalt zugreifen darf muß dies auf Anwendungsebene gelöst werden.
Soll der Admin nicht auf das OS plus Anwendung zugreifen dürfen, muß es z.B. per Verschlüsselung gelöst werden.
Der Admin stellt dann nur die physikalische Hardware, Backups und den automatischen Start der Maschine zur Verfügung, hat aber mit der Installation und dem Betrieb des OS und der Anwendung nichts zu tun.

Gruß
CH
Member: Ibbe-Emme
Ibbe-Emme Jan 31, 2016 at 16:31:30 (UTC)
Goto Top
"Der Admin stellt dann nur die physikalische Hardware, Backups und den automatischen Start der Maschine zur Verfügung, hat aber mit der Installation und dem Betrieb des OS und der Anwendung nichts zu tun."
Ja genau, darum geht es.
"Soll der Admin nicht auf das OS plus Anwendung zugreifen dürfen, muß es z.B. per Verschlüsselung gelöst werden."
Und wie nun, damit die VM einen Neustart überlebt?
Member: DerWoWusste
DerWoWusste Jan 31, 2016 at 17:02:32 (UTC)
Goto Top
Hi.

VM oder nicht lassen wir mal außen vor.
Aus Sicht des Angreifers: Wenn ich eine Maschine angeschaltet vorfinde, mich aber nicht anmelden kann und auf Netzwerkebene ebenso nicht ran kann (Firewall), dann bleibt nur die Offline-Attacke. Ist die Platte verschlüsselt, kann ich auch da nichts erreichen. Somit musst Du die virtuelle Platte verschlüsseln

Das Problem ist nun: wie soll jemand sie starten können, ohne den Schüssel zu haben?
Hier muss man zwischen ein wenig Sicherheit (nur Datenplatte ist verschlüsselt, aber nicht das OS) und vollständiger Sicherheit (alles ist verschlüsselt) unterscheiden. Letzteres bräuchte in Deinem Szenario ein TPM. Dieses gibt es mittlerweile auch virtuell (Win10/Server 2016 Hyper-V), jedoch nicht für Server 2008R2.
Member: Ibbe-Emme
Ibbe-Emme Jan 31, 2016 updated at 18:09:09 (UTC)
Goto Top
Guter Hinweis!
Das OS muß nicht verschlüsselt sein, das ist ein Standard-Linux mit Webserver und Datenbank, auch die Datenbank muß nicht zwingend verschlüsselt sein.

Für dieses Szenario lautet die Frage:
Wie richte ich eine verschlüsselte Datenplatte ein, die kein Paßwort beim Reboot braucht?

VM oder nicht?
Alternative wäre dedizierte Hardware, was der Kunde gerne vermeiden würde.
Da müßte der Admin nur noch für physikalischen Zugrifsschutz, sichere Stromversorgung und Netzwerkzugang (Port 443 HTTPS) sorgen.
Tunnel durchs gastegebende Netz für SSH (Administration der Maschine durch externen Admin) brauchen beide.
Member: DerWoWusste
DerWoWusste Jan 31, 2016 at 18:36:41 (UTC)
Goto Top
Wenn es nicht vollkommen verschlüsselt ist, kann ein Angreifer das OS manipulieren und jederzeit Daten und Schlüssel abgreifen. Der Unterschied zu einem unverschlüsselten System ist dann nur noch ein Mehraufwand. Hingegen wäre es vollverschlüsselt viel sicherer.
Aber das bekommst Du nicht hin, mit dem, was du hast, nicht mit Linux und nicht mit dem Hypervisor.

Du solltest dich nach einer Möglichkeit umsehen, bei der das Ding nicht unter den Fittichen von Personen steht, denen Du nicht traust.
Denn selbst wenn Du ein Linux hättest, das Vollverschlüsselung mit TPM unterstützt (gibt es das überhaupt?) und eine physikalische Maschine hättest, wäre es nur dann 100% wasserdicht, wenn der Admin den Speicher nicht auslesen könnte - das ginge nur bei auf dem Mainboard aufgelöteten RAM und ebenso aktivem Secureboot.

Fazit: du bewegst Dich auf technisch recht anspruchsvollem Gelände mit vielen Unwegsamkeiten, das sollte man immer vermeiden, wenn anders möglich. Schau Dich jedoch um, ob es Linuxvollverschlüsselung gibt, die TPM unterstützt, dann erst könnte man über eine non-VM-Lösung nachdenken. In der VM nur mit einem TPM-fähigen Hypervisor: Server 2016/Win10.
Member: Ibbe-Emme
Ibbe-Emme Jan 31, 2016 updated at 23:57:58 (UTC)
Goto Top
Gute Hinweise, danke!
Die angestrebte Sicherheitsstufe muß nicht so hoch sein, wie Du denkst.

Ich hab mich gerade mit einer Idee beschäftigt, etwa so: Beim Booten automatisch eine verschlüsselte Linux-Partition mounten und das gehashte Paßwort mit gehashtem timestamp von einem oder mehreren Keyservern abfragen.
Mitglied: 117471
117471 Jan 31, 2016 at 22:56:26 (UTC)
Goto Top
Man könnte das urheberrechtlich geschützte Material evtl. von irgendwo in die Anwendung reinstreamen.

Ich würde ansonsten einen separaten Hyper-V nehmen, auf den niemand physikalischen Zugriff hat.

Wobei mir das nach wie vor sehr suspekt vorkommt. Bei derartigen Themen bin ich eigentlich immer ganz froh, Aufgaben und Kunden ablehnen zu dürfen. Just my 2C.