KVM Rootserver gegen (unbefugten) Zugriff von außen (Host) sichern

  • wobei doof gefragt, kann das kVM eigentlich, z.B. ein VPS hat 4 GByte RAM, und weil da was läuft was nur 1 GB braucht, dass er die nicht gebrauchten 3 GByte am Host anderweitig zur Verfügung hat und der Guest wieder bekommt bis er diese auch tatsächlich allokiert?


    bei mir zu Haus auf meinem Rechner bei VMware fkt. das nur mit Windows Guests - mag sein dass es daran liegt, weil der Host selbst auch Windows ist;

    (wobei das ist unabhängig ob die VMware Tools installiert sind od. nicht)

    ohne VMware Tools gehen bestimmte Features einfach nicht: z.B. Copy&Paste zwischen Host und Guest bzw. umgekehrt;

    (Diverse Linux Distris liefern die meist in Form der open-vm-tools mit, bei Windows bedarf es auf jeden Fall eine Installation derer, soferne man will)

  • wobei doof gefragt, kann [der KVM-Hypervisor] eigentlich, z.B. ein VPS hat 4 GByte RAM, und weil da was läuft was nur 1 GB braucht, dass er die nicht gebrauchten 3 GByte am Host anderweitig zur Verfügung hat und der Guest wieder bekommt bis er diese auch tatsächlich allokiert?

    Ja, genau so läuft das (es wird standardmäßig immer nur vom Hostsystem allokiert, was benötigt wird). Das Hostsystem/der Hypervisor kann KVMs "auf dem Papier" sogar erlauben, mehr Speicher zu allokieren, als in der Summe zur Verfügung steht ("Overcommitting", analog zu vCPUs) – ggf. knallt es dann, wenn dieser tatsächlich allokiert werden soll und die Anfrage nicht bedient werden kann.

  • wie beispielsweise freier Arbeitsspeicher, nicht für andere VMs freigegeben werden können, oder anders gesagt: Es ist asozial.

    Habe ich noch nicht gehört. Freien Arbeitsspeicher habe ich auch gar nicht. Linux verwertet den ja stets zu 100% für den Dateisystemcache. Wenn das tatsächlich für Netcup relevant ist, wäre eine technisch fundierte Dokumentation im Wiki ganz nett, sei es zum Guest Agent direkt oder allgemein zur Fair use Thematik.

    Das nennt man unter KVM Balooning, ist aber seitens Netcup deaktiviert.

    Bei Netcup gibt es den RAM garantiert - und damit ist es nicht asozial.


    Es gibt Anbieter mit Balooning - insbesondere im OpenVZ / LXC Bereich - Netcup gehört aber nicht dazu.

  • aRaphael ja das heißt es, einzig bei der CPU hast Du den Unterschied zwischen VPS und RS, bei den Storage-Servern analog zu den VPS

    bei den Datenspeichern SSD/HDD hast hier was dan anbelangt keinen Unterschied, einzig die Storage-Server haben ein Raid 6 und VPS/RS ein Raid 10;

  • Freien Arbeitsspeicher habe ich auch gar nicht. Linux verwertet den ja stets zu 100% für den Dateisystemcache.

    Genau um diesen Cache geht es, denn das ist letztlich freier Speicher, der dann nicht für andere VMs zur Verfügung steht, während deine VM Dateien im Cache hält, die vielleicht seit Tagen nicht mehr abgerufen wurden, weil sie "denkt" der Platz wäre ja sonst eh ungenutzt. KVM managet das z.B. mittels Ballooning.

    Bei Netcup gibt es den RAM garantiert - und damit ist es nicht asozial.

    Die Verfügbarkeit deines Geldes in Bar wird dir durch deine Bank auch trotz Mindestreserve garantiert. Eins schließt das Andere nicht aus, wenn man maßvoll wirtschaftet. Und selbst wenn es nicht konkret Ballooning ist, gibt es keinen vernünftigen Grund, warum man ein Gastsystem bewusst so konfigurieren sollte, dass es nicht optimal mit seinem Host zusammenarbeitet. Für mich ist das Paranoia, die an anderer Stelle deutlich angebrachter wäre. Ist nur meine Meinung dazu.

  • Es besteht auch die Möglichkeit per VeraCrypt ein Volume zu errichten und es zu mounten, falls die zu verschlüsselnde Datenmenge nicht zu groß ist und man nicht das ganze System verschlüsseln muss bzw. möchte, da die Nachteile eben schon recht groß sind.

    Entweder das, oder man verschlüsselt kritische Daten direkt. Zahlungsinformationen könnte man z.B. direkt an das Kundenpasswort binden, und somit sicher stellen, dass sie gar nicht mehr gestohlen werden können, wenn der Kunde nicht eingeloggt ist.

  • z.B. direkt an das Kundenpasswort binden, und somit sicher stellen, dass sie gar nicht mehr gestohlen werden können

    man Beachte: was nicht gestohlen werden kann, kann dennoch vernichtet werden ...


    wenn der Einbrecher nicht 'rein kann, kann er Bude dennoch abfackeln ;)

  • Die Disk-Optimierung dient eher Anderen als einem selbst, Stichwort "Thin Provisioning". Ohne diese Möglichkeiten könnte Netcup aber vermutlich nicht so günstig anbieten. Außerdem schont freier Speicherplatz die SSDs, da Wear Leveling dort besser stattfinden kann.

    Man kann über die Disk-Optimierung nachträglich dafür sorgen wieder in der Lage zu sein einen Snapshot anlegen zu können. Von daher ist diese Funktion imho schon vorwiegend für den Kunden da und auch nützlich.