前几天我有这个想法,在虚拟机中运行一个带有 Linux ARM 发行版的 Mac mini 主机(主要是因为它是城里最便宜的主机,具有足够的内置安全硬件,即它具有 SEP 和 SIP)作为服务器,但我担心暴露的 macOS 主机的攻击面。
我的隐含威胁模型是,我不想信任任何“系统应用程序、服务和流程,以及由其他应用程序自动打开的数字签名应用程序”。我正在寻找此问题的路由解决方案,该解决方案不依赖于 macOS 正确执行其工作。
有没有办法安全地限制主机的 Internet 访问,同时允许 VM 在此主机上运行,也许是通过路由器端的路由或自定义软件?我非常乐意使用 Raspberry Pi 之类的东西从头开始构建路由器,以实现此目标。
干杯,
伊恩
答案1
提供 USB 无线网卡,使用 USB 直通到虚拟机。设置虚拟机以使用 USB 无线网卡。
确保虚拟机未处于桥接模式。
现在,您可以限制主机互联网访问并允许虚拟机通过 USB 无线网卡和直通访问互联网。