那些遇到过的问题

从隐私角度来看,在 Windows 10 上使用 Ubuntu VM 是否安全?

byT*_*mmy 8 security virtualization privacy

我的问题基本上在标题中 - 我们都知道 Windows 10 附带的遥测废话以及 NSA 对每个人的监视。考虑到所有这些,(从隐私角度)使用 VM 来使用 linux 是否安全?Windows 是否能够从我的 VM 收集数据,还是与基本上将 linux 作为主机操作系统相同?

这对你来说可能看起来很偏执,但我觉得这是我必须要求确定的事情。我不能只是删除我的 Windows 安装并使用成熟的 Linux,因为我需要在 Windows 上使用一些软件。我也不能(最好说:不想)只使用 Windows,因为我不想被监视。所以我想我会走中路。

我正在使用 Vmware 和最新的 Ubuntu,如果这有任何意义的话。

Kaz*_*lfe 14

就虚拟机而言,没有。在这种情况下,虚拟机用于将来宾与主机隔离,而不是相反。

在 Windows 监视您的领域中,您只需在 VM 中运行即可安全。这是不可能的,Windows将安装ext2驱动程序或类似窥探您的系统上,甚至更少,它会做任何事情,我在下面说明,但我们会因为他们知道重要的是要讨论的理论风险,因为我们可以”相信微软不会,甚至(技术上)不会

主机可以完全访问它正在运行的任何和所有虚拟机,包括原始内存(使加密无用)、原始虚拟硬盘驱动器、任何原始网络连接等。因为您不信任正在运行的基本框架虚拟机,你不能相信虚拟机本身不会受到损害。

主机可以访问所有 VM 内存。因此,主机可以:

  • 从内存中读取任何和所有原始状态,包括加载的文件内容
  • 任何东西的加密/解密密钥,包括 HTTPS 和硬盘驱动器
  • 读取 URI、系统状态等。
  • 解除DMA 攻击并运行任意代码
  • 让你的生活完全悲惨。

虽然 Windows本身不太可能仅仅为了遥测而走这么远,但它仍然是一个应该建立和了解的潜在威胁。我们正在处理理论上的边缘情况,所以至少值得一提。

最好的选择是双启动,使用 LUKS 来加密您的数据。这将允许 Linux 和 Windows 在相同的裸机硬件上运行,但不能共享资源。由于 Linux 的分区是加密的,Windows 甚至想做什么都做不了。问题在于您必须重新启动系统才能更改操作系统。

如果这对您来说是个问题,请考虑在 VM 中使用 Windows,但请注意可能存在虚拟机逃逸漏洞 (a la CVE-2016-7461 ),这可能会授予从 Windows VM 访问您的 Linux 分区的权限。

Pot*_*ito 14

你的问题很模糊。简短的回答是:这取决于您要保护的对象。长答案如下。

更详细的解释:我想到了一些您希望在隐私方面保护Windows/Microsoft 的事情。还存在其他隐私危险,例如在您的系统上运行的专有软件、间谍软件等。但是由于您专门询问了 Windows/Microsoft,因此我不会解决这个问题。

1. 您的本地数据

问题:存在安装 ubuntu 的虚拟磁盘。Windows 没有对 EXT3 格式的本机支持,但谁知道呢。

解决方案:您当然可以在安装过程中加密您的 ubuntu 主目录或整个“驱动器”。这应该可以防止主机系统上运行的任何软件读取 VM 内的数据。然而,由于解密密钥理论上也可由主机系统访问,因此有可能在主机系统的完全控制下解密数据,从而解密密钥。我会争辩说,通过加密,您可以隐藏有关您的使用情况和文件的自动生成统计信息,但是控制主机操作系统的人对您/您的计算机进行有针对性的攻击将使所有加密变得无用。

2. 您的网络流量

问题:您很可能使用 Ubuntu 浏览网页、访问文件服务器、阅读电子邮件等。有些连接会被加密,有些则不会。那些未加密的以纯文本形式通过 VM 主机系统 (Windows 10)。从理论上讲,如果您的 Windows 10 中安装了监控/嗅探网络流量的软件,它至少能够读取您的一些网络流量。此外,加密不会阻止该软件,以确定你与别人,谁某人是沟通。单独加密只会隐藏内容。

解决方案:如上所述,加密流量不容易被主机系统读取,因为它已经在 VM 内部加密,然后才通过主机系统的网络接口传输。例如,您可以通过建立到您信任的服务器的 VPN 连接来强制对来自 VM 的所有流量进行此类加密。附带说明:这也可能是您网络中的路由器。但请注意,这里可能会使用驻留在主机内存中的加密密钥进行与问题 1 相同的针对性攻击。撇开针对性攻击不谈,Microsoft 不会自动分析您的网络浏览。

3. 数据通过您的 USB 端口

问题:当您在 VM 内部使用 USB 设备执行任务时,例如打印文档,数据最终必须通过主机系统,因为 VM 无法直接访问物理 USB 端口。因此,主机系统“看到”所有流向 USB 设备的信息。这也适用于输入设备,即键盘和鼠标。因此,即使在使用 Ubuntu、加密和所有东西时,Windows 仍会注册您的每一次击键,并可以将其用于“改善用户体验”或对数据执行的任何操作。

解决方案:无。只要usb设备不支持端到端加密,我真的看不到任何解决方案。

4. 您的硬件签名

问题:您的硬件配置很可能非常独特。操作系统可以访问来自您的硬件的大量信息,例如制造商、制造日期、型号、网络接口情况下的 mac 地址等。Windows 实际上会计算您硬件的指纹并将其连接到您用于安装 Windows 的 Windows 密钥。您可以在更改系统中的硬件时看到这种效果,Windows 会提示您重新验证安装。因此,从 Microsoft 的角度来看,在 VM 中使用 Ubuntu 时,您仍然可以作为用户看到。

解决方案:实际上没有虚拟机。

如果你认真对待你的隐私、开源和 Ubuntu,你应该考虑至少将它安装在单独的分区/驱动器和双启动上。这将消除我提到的所有问题,除了第一个。

  • 与解决方案 1 相反:如果您加密数据,您的系统会将解密密钥加载到内存中。您的主机可以完全访问您的 VM 的内存,并且可以根据需要轻松获取密钥。实际上与网络或 USB 相同,它可以执行某种 MITM 或原始内存读取,但我严重怀疑仅 Windows 会做到这一点。否则,+1。好点提高。 (9认同)

归档时间:

查看次数:

9188 次

最近记录:

8 年,9 月 前
相关归档
在VirtualBox中,如何设置可以上网的host-only虚拟机? 103
如何导出和导入 VirtualBox VM 映像? 74
安装 QEMU-KVM 时组“libvirtd”不存在 17
Ubuntu 容易受到恶意软件站点的攻击? 14
FDE(全盘加密)如何运行得如此之快? 13
儿童保护帐户 8
发送错误报告时是否应该要求我输入密码? 8
在 Ubuntu 18.10 上配置 VM 加速问题 7
加密挖掘过程不断出现在服务器上 6
如何在设置中恢复锁定屏幕选项? 1
难疑归档
如何在 /boot 中释放更多空间? 590
如何为 Java 设置 JAVA_HOME? 352
如何列出依赖包(反向依赖)? 278
如何重新启动网络服务? 278
如何修改无效的“/etc/sudoers”文件? 276
点击箭头键在 vi 编辑器中添加字符 265
如何在没有密码的情况下运行特定的 sudo 命令? 244
如何删除符号链接 188
系统安装后如何添加swap? 183
GPG 错误:无法验证以下签名,因为公钥不可用 137