大家好,今天小编关注到一个比较有意思的话题,就是关于linux 隔离cpu的问题,于是小编就整理了1个相关介绍linux 隔离cpu的解答,让我们一起看看吧。
虚拟机要怎么配置,虚拟机中毒,宿主会不会中毒,怎么避免病毒通过网络进入宿主机?
这个问题属于虚拟机安全问题。市面上虚拟化技术分为:裸金属虚拟化和寄居型虚拟化。不管你想知道是哪一种。我都简要讲述一下:
裸金属虚拟化的安全配置
裸金属虚拟化架构并没有宿主机一说。物理主机和虚拟机之间加载了一个虚拟层。这个物理主机对虚拟机来说只是一个计算资源。虚拟层是一个精简了的核心,和BIOS类似。功能只负责统一管理物理机的CPU、内存等物理资源。虚拟机需要执行指令时,虚拟层转交给物理cpu、内存去执行。比如:vmware 的vsphere。所以,裸金属架构的虚拟机安全一般在虚拟层上去配置。一般在配置项如下:
-
虚拟网络配置:将虚拟机的业务网络配置独立的网络,和其他网络通过VLAN互相隔离,可以防止网络病毒过快扩散;
-
网络安全配置:在虚拟化管理平台上可以像防火墙一样,禁止服务端口,只开放需要开放的端口;
-
及时升级虚拟化补丁:如果原厂有发布虚拟化平台的安全补丁,请第一时间升级。这样病毒就没那么容易感染进来。
-
虚拟机操作系统补丁:虚拟机的操作系统的安全补丁也要及时升级。
-
安装针对虚拟化的网络防病毒:虚拟化平台这样可以在入口就将病毒挡住,无需在众多虚拟机上安装防病毒(以免引起杀毒风暴)。
寄居型虚拟化的安全配置
寄居型虚拟化和裸金属虚拟化的最大不同在于,物理计算机上面不是虚拟层,而是一个完整的操作系统。这个操作系统本身还可以对用户提供各种服务,所以这个操作系统和物理机一起经常被叫做宿主机。比如:vmware workstaion,windows 自带的Hyper-v。配置寄居型虚拟化的安全配置一般如下:
-
虚拟机的网络:存测试性质的虚拟机就配置host-only网络,也就是虚拟机无法访问物理机网络,只能在虚拟机之间互相访问;如果是需要联网的虚拟机,则建议是用NAT型网络,这样,虚拟机需要NAT通过宿主机才能访问互联网。你只需要把好宿主机的安全,虚拟机就安全了。
-
虚拟机防病毒:这种类型的虚拟化,一般都是自家电脑,所以同时开机的虚拟机并不多。可以在虚拟机上安装杀毒软件。让杀毒软件帮你把好一道关;
-
虚拟机系统补丁:这个和前面裸金属一样,有安全补丁也是必须及时更新;
-
宿主机的防病毒:和我们日常使用一样,要经常更新病毒库;
-
宿主机的系统补丁:有安全补丁,必须第一时间更新;
-
宿主机的网络配置:宿主机防火墙关闭不必要的服务端口;尤其是网络共享的端口比如:139,445等。避免病毒通过网络共享进入。
结语
无论是哪种虚拟化架构。我们要做的第一件事是不让虚拟机和物理机中毒,这个主要是系统补丁升级和防病毒。第二件事才是防扩散:在万一不幸中毒的情况下,我们可以通过网络隔离传播。也就是关闭一些病毒容易利用的传播端口,网络通过VLAN或者NAT将其隔离。(当然,U盘等也要注意杀毒后使用)。
为避免虚拟机中毒影响宿主机,建议配置方法如下:
1将虚拟机网卡配置为桥接模式
2将虚拟机IP地址设置为可以上网的配置
3将虚拟机和宿主机间的虚拟机软件配置中的共享关闭
4将宿主机IP配置为一个错误地址段,保证它不能访问因特网
5为虚拟机打漏洞补丁,安装杀毒软件,打开防火墙,不对外映射端口。
6日常编辑使用工作文件在宿主机,访问外网使用虚拟机,不正常的网站访问要及时还原虚拟机快照。
针对每一个问答都本着绝不大胆胡说,只管小心求证的态度,疯评科技来解答您的提问。
虚拟机中毒会不会传染给宿主机,一般来说如果虚拟机中毒是很有可能感染了宿主机的,下面就具体情况来讲一讲。
运行在Windows/Linux下的虚拟机软件
我们以最常用的Windows环境下使用VMware Workstation为例来做讲解。
假如一台虚拟机中毒,要传染给宿主机,首先必须得让虚拟机跟宿主机进行通信。虚拟机跟宿主机通信有两种方式如下。
-
宿主机为虚拟机提供共享文件夹
在VMware workstation此功能默认是禁用的,在我们需要通过宿主机向虚拟机进行文件共享时,软件上已经有文字提醒存在风险了。在添加共享文件夹的过程中,还有属性选项,如果不勾选只读属性,那么虚拟机可以在宿主机上进行写操作和执行操作,一旦虚拟机中毒,在这种情况下肯定会传染到了宿主机。
要避免通过这种方式被虚拟机感染病毒,只需要稍加注意几条即可做到。
尽量不打开共享文件夹,迫不得已需要共享文件时,将其设为只读属性。这样病毒就难以通过这种渠道进行感染了。
-
宿主机和虚拟机通过网络来通信
在宿主机和虚拟机之间的网络模式有上面几种,桥接模式和NAT模式下,虚拟机可以连接到Internet,与主机通信更是完全没问题,这种情况下,虚拟机中毒的机会会增大,感染给主机的机会也是有可能的。在仅主机模式下,不经过特定设置,虚拟机只能与主机通信,无法连接到Internet,在一个封闭的环境下,相对中毒机会较少,感染给宿主机的机会也小。
这种情况下我们对虚拟机的网卡使用模式要谨慎,尽可能避免虚拟机和主机之间的通信才能避免被病毒感染。
运行在硬件上的的虚拟机操作系统
有些虚拟机软件直接就是一个操作系统,安装在硬件底层,这种情况下也是存在虚拟机中毒会传染给宿主机的可能的,但风险大大降低。
这种虚拟机操作系统的网卡设置非常灵活,就如同一个庞大的虚拟智能交换机,其网络设置多种多样,但安全性是很高的,虚拟机之间要跟宿主机进行通信,唯有这里可以通信,一般这时候宿主机多半是Linux平台的,如果虚拟机是windows平台,中毒并且感染宿主机的可能性还是非常小的。如果虚拟机也是linux平台的,中毒的话,也是存在感染宿主机系统的可能的。
这种情况下要避免被中毒的虚拟机感染,只要网络设置得当,即可避免。
通过上面的比较可以知道,虚拟机中毒,是会感染到宿主机的,导致宿主机中毒的,但虚拟机操作系统下比虚拟机软件更安全,采取网络隔离和隔断文件共享就可以避免虚拟机对宿主机的感染。
到此,以上就是小编对于linux 隔离cpu的问题就介绍到这了,希望介绍关于linux 隔离cpu的1点解答对大家有用。
微信扫一扫 
支付宝扫一扫 
