שלום,

לא מזמן פתחתי דיון כשחיפשתי מחשב ישן עבור שרת ביתי
http://www.whatsup.org.il/forum/41269

מצד שני קיבלתי הרבה המלצות חמות לא לסמוך על חומרה ישנה כי ברגע שיהיו הרבה
רכיבים קריטיים עליו וביום מן הימים הוא יעוף זה יפגע קשות בכולם (מדפסת/סורק/שרת
אינטרנט/דואר/חומת אש ועוד). בנוסף זה גם גורם לבזבוז לא רצוי של חשמל.

אז התחלתי לחשוב/לחשוש...

מצד שני, יש לי מחשב חזק Athlon XP 64 3000Mhz, 1G RAM שברוב
הזמן לא עובד בכוח מלא.

אבל לאלו מטרות אני משתמש במחשב שלי?

- ניסויים - LiveCDים למיניהם...
- פיתוח, כולל Web (שרת apache בסיסי נתונים ועוד).
- משחקים 3D כבדים (wine/cedega).
- מידי פעם, WinXP עבור החברה בקרוב...
- שיתוף מדפסת
- שיתוף סורק

אז חשבתי:
- גם ככה לרוב אני משתמש היום במכונות וירטואליות לניסויים במקום לעשות reboot.
- לפי מה שנראה לי אז VirtualBox נותן פתרון סביר בהחלט להרצת XP
(כולל תמיכה ב-USB) והוא ממש מהיר אומנם לא למשחקים אבל בכל זאת.

מה הבעיה - הפרדה בין שרת אינטרנט/ssh/ftp לבין מחשב ביתי רגיל.
הרי אי אפשר להתייחס לאבטחת מחשב ביתי (סיסמאות, עדכונים ועוד) כמו
לאבטחת השרת האמיתי...

חשבתי:
א. לשים שרת אינטרנט בתוך מכונה וירטואלית
ב. לנתב את החיבורים החיצוניים אליה (HTTP/SSP/FTP)
ג. להריץ ניסויים/XP בתוך VirtualBOX
ד. לקנות נתב לצרכי חומת אש/portfrwarding (שזה בכלל דבר בריא להשתמש בנתב)

אז הנתב יפנה פורטים ssh/ftp/http לפורטים אחרים (לדוגמה 80 ל-10080)
חומת אש במחשב עצמו יפנה פורטים אלו ל-IP של מכונה וירטואלית ותחזיר אותם
בחזרה לפורטים מקוריים (קרי 10080 בחזקה ל-80)

בצורה הזו המחשב יעבוד כרגיל ובתוכו ירוץ השרת אינטרנט/ftp/ssh מאובטח.
זה גם יאפשר עבודה עם מחשב כרגיל, הפעלת משחקים ו-XP בתוך מכונה וירטואלית.

שאלות:

• מה דעתכם בנושא? האם זה לא Overkill?
  
  אולי כדאי להשתמש במשהו אחר במקום וירטואליזציה עבור השרת?
  
  
• באיזו טכנולוגיה להשתמש עבור שרת וירטואלי - חייב להיות יציב, מאובטח,
  רץ בתור שירות ללא GUI. האם xen או user-mode-linux?
  או אולי vmware, qemu או virtualbox?
  
  חשוב שהוא יהיה קל, יציב, ומאובטח.
  
  
• אילו בעיות אתם רואים בקונפיגורציה כזו?
  

לגבי הקונפיגורציה באופן כללי,
נראה לי הגיוני לגמרי.
מבחינת אבטחה (מעבר לשיקולים הרגילים) צריך לקחת בחשבון שגם המחשב המארח צריך להיות מאובטח מאחר ומי שמשיג גישה אליו (מרחוק בשורת פקודה) מקבל למעשה את המקבילה של גישה פיזית למכונות הוירטואליות שהוא מריץ. יהיה לפורץ למחשב המארח נורא קל (לדוגמא) להפעיל מחדש או לכבות את המכונה הוירטואלית, לשנות את סיסמת רוט, למחוק את הדיסק הקשיח הוירטואלי קומפלט. בקיצור, כל מה שיכול לעשות מי שמשיג גישה פיזית לשרת רק יותר בקלות.

מבחינת הכלי,
אין לי נסיון עם אחרים (אלא אם כן virtual pc וחבורתו נחשבים [והם לא]) אבל אני די מבסוט מ VMWARE SERVER. קצת מעצבנת צורת ניהול הזכרון שלו בברירת מחדל אבל חוץ מזה יש לו כל מה שאני רוצה, הוא יציב (טרם נפל לי) ומהיר (למרות ששוב, אין לי למה להשוות). אה, כן, הוא גם לא קוד פתוח...

הכוונה היא שהשרת אינטרנט/ssh/ftp ירוץ בתוך מכונה וירטואלית.

לכן ע"מ לפרוץ הוא קודם כל יצטרך לפרוץ את המערכת המאובטחת
ולאחר מכן לפרוץ את ההגנות של הוירטואליזציה

ד"א xen (שהיו לי תקוות לגביו) ירד מהפרק כי VirtualBox ולא VMWare לא מסתדרים עם Xen Kernel ועם החומרה שלי אני יכול להתשמש רק ב-para-virtualization.

בנוסף שדרייבר של nvidia עשה בעיות - אבל דווקא את זה הצלחתי לסדר...

אז vmware. בגלל היכולת להעלות את המכונה בתור "service" ללא x. אנשים פה יגידו לך qemu, אבל לא חבל? זה יטחן לך את המחשב. כמו כן, הוא פרימיטיבי מאוד ביחס אל VirtualBox, שהוא די פרימיטבי ביחס ל־vmware (אני משתמש ב־VirtualBox אצלי בשביל Windows... אבל לא מופעל כל כך האמת )

elcuco :

אז vmware. בגלל היכולת להעלות את המכונה בתור "service" ללא x.

אחרי ש־xen נפסלה בגלל התנגשות עם מערכות וירטואליזציה רגילות (vmware/vbox) אז אני באמת מסתכל על VMWare Server בתור פתרון פוטנציאלי.

מצד שני אני מוצא אותו די כבד ופולשני (בייחוד שאני אצטרך להריץ 7/24 את השרת עליו). בכל אופן אני הולך לבדוק אותו.

elcuco :

אנשים פה יגידו לך qemu, אבל לא חבל? זה יטחן לך את המחשב.

מצד שני אני מכיר אותו הכי טוב מכולם. ואני יודע בדיוק מה הוא עושה, מה מעלה וכד'. אז עבור שרת HTTP/FTP/SSH קטנטן של 128MB זה לא יהיה נורא בכלל...

elcuco :

כמו כן, הוא פרימיטיבי מאוד ביחס אל VirtualBox, שהוא די פרימיטבי ביחס ל־vmware (אני משתמש ב־VirtualBox אצלי בשביל Windows... אבל לא מופעל כל כך האמת )

אני הולך להפעיל XP מתוך vbox כי כיום הוא נותן את הפתרון הטוב ביותר (גם תמיכה ב־USB) ובכלל הוא מאוד נוח מבחינת GUI. השאלה היותר מעניינת היא האם וכיצד ניתן להריץ אותו בתור service שיעלה יחד עם המערכת (וירד גם כן)

......

עוד משהו: האם מישהו מכיר כיצד או האם בכלל זה אפשרי להריץ VMWare או qemu על קרנל עם תמיכה ב־xen ללא תמיכה בחומרה - paravirtualization.

( למה לא קניתי amd64 על תושבת AM2 ).

אתה יכול ללכת גם פחות רחוק:

linux-vserver

ואז אין בזבוז משאבים כמעט בכלל (למעט שטח דיסק). אולם יכול להיות שיהיו כמה דברים שלא יעבדו בצורה חלקה.

קודם כל, לגבי מונחים,
מציע לצורך מניעת בלבול בדיון להפריד בין "מחשב" שמתייחס למחשב הפיזי (ומריץ את "מערכת ההפעלה המארחת") לבין "מכונה" שמתייחס למכונה הוירטואלית שנוצרת על ידי פתרון הוירטואליזציה (ומריצה את "מערכת ההפעלה האורחת").

לגבי פריצות,
כנראה שלא הסברתי את עצמי טוב אז אסביר מחדש.
נניח שאתה מריץ אובונטו (סתם לצורך קלות ההסבר) על המחשב הפיזי, מתקין עליו פתרון וירטואליזציה כלשהוא ובתוכו יוצר שתי מכונות וירטואליות. על אחת מהן אתה מתקין XP ועל השניה דביאן שיריץ את כל השרתים (SSH/FTP/WWW).
זה שצריך לאבטח את הדביאן זה טריויאלי.
מה שרציתי לציין זה שצריך לאבטח גם את האובונטו כי מי שיפרוץ אליו יקבל גישה פיזית לדביאן.
בנוסף, גם ה XP הוא סיכון שצריך לאבטח כי דרכו (אם נפרץ) אפשר להמשיך לפריצה לאובונטו ו(שוב) לקבל גישה פיזית לדביאן.

לגבי VMWARE SERVER,
.1 פולשני? למה הכוונה שלך? לגבי כבד, לא מרגיש בכבדות בכלל.
2. גם VMWARE נותן פתרון ל USB (בדוק ועובד בפועל בלי בעיה. המגבלה היחידה היא שצריך להפעיל את המכונה הוירטואלית כאשר ההתקן ממופה אליו - אין hotplug. י)
3. ממשק נוח מאוד לטעמי.
4. ניתן להגדיר בקלות לגבי כל מכונה וירטואלית האם היא תעלה ביחד עם עליית המחשב והאם בכיבוי המחשב היא תכובה (כאילו מהכפתור) או שתשלח פקודת כיבוי מסודר למערכת ההפעלה האורחת.
5. לא מסתמך בכלל על פקודות VT במעבד. (חסרון למחשב שתומך, במקרה שלך יתרון)
6. פועל כשירות. פתיחת הממשק הגרפי רק מתחברת לשירות. סגירתו לא תסגור את המכונות. אגב, אם רלוונטי עבורך, ניתן גם להתקין את הממשק (ללא השרת) על מחשב אחר (לינוקס או חלונות בלי תלות במע"פ של השרת), לגשת לשרת דרך הרשת ולקבל שליטה מלאה לגמרי.
7. תחזוקה קלה יחסית (שוב, לא מכיר תחזוקה של המתחרים). התקנה דרך סקריפט שדואג להכל, הסרה כנ"ל, הגדרה ראשונית (ניתן להריץ גם אחרי שמותקן, מקביל בערך ל dpkg-reconfigure) דרך סקריפט, אחרי עדכון קרנל ששובר את המודולים של כרטיסי הרשת הוירטואליים מריצים שוב את סקריפט ההגדרה - הוא מקמפל אותם מחדש תוך דקה, מפעיל מחדש את השירות ומעלה את המכונות שאמורות לעלות עם המחשב ואתה על הרגליים שוב.

ובכלל,
האם הבנתי נכון ואתה מעוניין להריץ כמה פתרונות וירטואליזציה במקביל? אמנם לא ניסיתי אף פעם לעשות את זה אבל זה נשמע לי לא יעיל.

שיכולה לבצע חלק נכבד מהדברים שאתה צריך, בעלות נמוכה להפליא (300 ש"ח) ובצריכת חשמל מזערית.

בין שאר, היא יכולה לשתף מדפסת וגם לבצע שיתוף קבצים (באמצעות חיבור usb). לדעתי, כדאי להפחית כמה שאפשר שירותים מהמחשב.

ציטוט:

זה שצריך לאבטח את הדביאן זה טריויאלי. מה שרציתי לציין זה שצריך לאבטח גם את האובונטו כי מי שיפרוץ אליו יקבל גישה פיזית לדביאן.

הכוונה היא שאבטחה של מחשב שחושף שירותים לאינטרנט (www/ssh/ftp) לבין מחשב שנמצא מאחורי firewall וניגש החוצה רק בצורה פאסיבית היא אמורה להיות שונה.

אני לא אצטרך לשים סיסמאות חזקות על כל משתמש במחשב רגיל, אבל אני כי אעשה זאת בשרת אינטרנט שהרבה יותר חשוף לפורצים פוטנציאליים.

בקשר ל-VMWare. עד היום השתמשתי ב-Player ואני חייב לבדוק את ה-Server שלהם, לראות עד כמה הכל שם נוח/עובד ועוד.

ציטוט:

אתה יכול ללכת גם פחות רחוק: linux-vserver ואז אין בזבוז משאבים כמעט בכלל (למעט שטח דיסק). אולם יכול להיות שיהיו כמה דברים שלא יעבדו בצורה חלקה.

דווקא זה נראה לי מאוד מבטיח... אני אבדוק את זה.

משתמש :

שיכולה לבצע חלק נכבד מהדברים שאתה צריך, בעלות נמוכה להפליא (300 ש"ח) ובצריכת חשמל מזערית. בין שאר, היא יכולה לשתף מדפסת וגם לבצע שיתוף קבצים (באמצעות חיבור usb). לדעתי, כדאי להפחית כמה שאפשר שירותים מהמחשב.

אפשר קישור למכונה הזו ? בבאג, או אפילו באתר היצרן...

אני משער שכוונה ל -
http://www.bug.co.il/prodtxt.asp?psn=3186&ser=1

או באתר היצרן -
http://www.edimax.com/en/produce_detail.php?pd_id=197&pl1_id=3&pl2_id=21