安装客户附加组件是否会给主机操作系统带来安全风险?
答案1
可能。肯定是在 vmware-tools 中。复制/粘贴缓冲区和键盘/鼠标共享内存区域允许访问主机。如果虚拟已植根,则很容易确定使用的虚拟化类型并破解/安装您自己的客户端工具。据我所知,只有 vmware 有示例代码可以通过这些 API 通道进行破解,而且已经修补了很长时间。
话虽如此,你被这种方式黑客攻击的可能性可能接近于零。除非我们开始看到使用这些方法的黑客攻击,否则我不会担心。或者说,还有很多其他事情需要先花时间保护。共享文件访问、不使用 DMZ、不适当的防火墙、弱密码、糟糕的文件权限都更重要。
永远记住,社交网络黑客、错误配置的系统、心怀不满的员工和纯粹的愚蠢行为(在 ebay 上出售装有数据的硬盘、将密码贴在显示器上等)是大多数报告的大型系统黑客攻击的四大切入点。
这是其中之一,还有其他的—— VMWARE — 基于 Windows 的主机或基于 Windows 的客户机上的 VMCI 权限提升。
OpenBSD 的态度是正确的。除非绝对需要,否则不要安装它。您可以从客户端工具中自行安装网络驱动程序。“安全”虚拟机不应具有共享文件访问、控制台等。
答案2
我想不出任何理由。顺便说一下,“Guest”是指来宾操作系统,而不是来宾用户。
Guest Additions 是一组用于显示器和鼠标等的驱动程序,可以增强这些项目的功能。
答案3
客户机已沙盒化。客户机附加组件安装在客户机操作系统上。我看不出这比将该机器作为物理系统放在网络上有什么更大的安全风险……我想,如果您启用了主机到客户机驱动器共享,您可能会想到一些更直接的威胁场景。
否则……你为什么会认为它是一种安全威胁?
答案4
...Linux 主机怎么样?
这些漏洞是通过数据通道和共享内存进行的。主机操作系统本身并不重要。重要的是所涉及的单个代码和主机上的访问控制/权限。(Linux 的 selinux/apparmor/tomoyo)