Puis-je exécuter KVM serveurs virtuels sur la version de bureau
J'ai installé un ordinateur de bureau Ubuntu 64v. Est-il prudent d'exécuter un serveur de production dans un KVM?
PC = i5 vt activé, 8gig de mémoire, 1g de disque dur
Hôte = Ubuntu Desktop 64 bits. Invité (s) = serveur Ubuntu (ligne de commande)
Est-ce sécuritaire? Devrais-je exécuter tout à partir d'une ligne de commande à des fins de sécurité?
Tout d’abord, oui, vous le pouvez (vous le savez grâce à la réponse existante). J'aimerais quand même ajouter quelques aspects. Les versions de bureau et de serveur ne diffèrent que par les packages installés par défaut ou configurés pour être installés par défaut (tasksel), vous pouvez donc le faire.
L'exécution d'un serveur de production sur une "version de bureau" d'Ubuntu est donc possible car il n'y a pas de différences fondamentales telles que, par exemple, entre Windows XP Pro (32 bits) et Windows 2003 Server R3 (32 bits) - ce dernier accepterait jusqu’à 64 GiB RAM dans les éditions les plus onéreuses. Sur Ubuntu, vous pouvez installer un noyau qui parle PAE et ne définit pas de limites arbitraires (comme les éditions Server moins chères de Windows 2003), même sur des configurations 32 bits.
La grande question devrait être de savoir si vous pouvez exécuter des serveurs de production sur du matériel standard. Et la réponse est oui. Découvrez cet article sur Wikipedia . Google exécute la plupart de ses services sur ce type de matériel, mais de manière redondante. Il y a quelques années, ils (Google) ont également publié des études sur la fiabilité des disques durs de bureau.
Par conséquent, lorsque nous saurons que le matériel de base n’est pas le problème de vos exigences en matière de fiabilité et que les paramètres connus concernant les défaillances matérielles attendues, etc., doivent régir votre prise de décision.
Une alternative "moins chère" (ou plutôt: "plus légère") consisterait à utiliser LXC (conteneurs Linux). Imaginez-les comme une étape intermédiaire entre chroot (qui n'a jamais été conçue pour être une prison comme les concepts respectifs sur Solaris ou BSD) et KVM. LXC tire parti de apparmor pour y parvenir, entre autres. La séparation n'est pas parfaite, mais compte tenu des avantages, le compromis semble minime.
Concernant votre rootkit, inquiétez-vous, je ne suis pas sûr car je n'ai pas suffisamment étudié le sujet. Cependant, KVM invités s'exécutent en tant que processus en mode utilisateur et vous pouvez même laisser chaque invité disposer de son propre compte, si vous le souhaitez. Maintenant, certaines parties de KVM doivent évidemment fonctionner dans le noyau de l'hôte. Il existe donc une chance que des vecteurs d'attaque existent. Je me demande simplement si le vecteur d'attachement permet au code des invités de sortir ...
La façon dont vous avez l'intention de rendre les choses plus sûres en utilisant uniquement la ligne de commande me dépasse toutefois. Vous avez toutes les possibilités (généralement plus que moins) que vous avez via une interface graphique (KDE, GNOME, Unity, etc.). Cela ne rend donc pas le travail plus difficile d'installer Host ou guest en ligne de commande uniquement. La raison de laisser X11 devrait plutôt être régie par l'utilisation (vous dites "serveur", donc ce n'est pas évident) et les ressources disponibles. Si X11 ne s'exécute pas, cela ne prendra pas non plus de ressources (sauf pour l'espace disque).
Oui, vous pouvez exécuter KVM sur une installation de bureau. En fait, il existe un excellent outil graphique, virt-manager, pour vous aider à configurer, installer et gérer les invités.
Pour l'installer
Sudo apt-get install virt-manager
Voir https://help.ubuntu.com/community/KVM/VirtManager pour plus de détails.