Login
Login-Name Passwort


 
Newsletter

Thema: VirtualBox-Abbilder verkleinern

11 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von XYZ am Do, 19. Oktober 2017 um 21:46 #

Du darfst es natürlich auf euren Systemen so machen, wie ihr das für euch verantworten mögt und wie auch die Prozesse z.B. in eurem Unternehmen es verlangen...

Mein Weg ist sicherlich nicht der Beste weg... Ich wollte nur beschreiben, worauf man vielleicht noch so achten sollte.

Es steht aber jedem selbst frei, wie er/sie das verantworten möchte...

Nur möchte ich keinen Quellcode auf solchen Systemen kopieren, kompilieren und deployen... Danach den Quellcode löschen, aber vergessen, dass die Pads auf der Platte sehrwohl noch Teile des Codes enthalten könnten... Selbst bei einem "shrink" oder "dd", weil hat 1 Byte einen vollen Block sperrt und die restlichen 4095 Bytes Teile des Codes beinhalten oder Passwörter, Schriftverkehr oder sonstiges..

Kommt aber auch auf die Anforderungen an und wo man arbeitet... Wenn es z.B. um VS-NFD oder VS-Vertrauliche Daten handelt... Dann sollte man "penetrant" sein :)

  • 0
    Von Verfluchtnochmal am Do, 19. Oktober 2017 um 22:24 #

    Was für ein Unsinn - Wenn es um vertrauliche Daten geht ist Verschlüsselung dein Freund und dann hat es sich mit thin provisioning und shrinking sowieso ja du kannst noch nichtmal die vdisks auf 2 GB Segmente aufteilen lassen, tut einfach nix wenn LUKS unter dem Dateisystem sitzt (Und ja das splitten macht gerade im Kontext shrinking extrem Sinn weil du temporär niemals mehr als 2 GB brauchst anstatt minimum den belegten Platz der virtuellen disk)

    0
    Von Verfluchtnochmal am Do, 19. Oktober 2017 um 22:25 #

    Was für ein Unsinn - Wenn es um vertrauliche Daten geht ist Verschlüsselung dein Freund und dann hat es sich mit thin provisioning und shrinking sowieso ja du kannst noch nichtmal die vdisks auf 2 GB Segmente aufteilen lassen, tut einfach nix wenn LUKS unter dem Dateisystem sitzt (Und ja das splitten macht gerade im Kontext shrinking extrem Sinn weil du temporär niemals mehr als 2 GB brauchst anstatt minimum den belegten Platz der virtuellen disk)

    • 0
      Von XYZ am Do, 19. Oktober 2017 um 22:58 #

      Nunja, die Vorgaben, wie man beim Kunden die Systemintegration betreibt, sind meistens vertraglich festgehalten. Da kommt man nicht einfach so mit Verschlüsselung an (wenn der Kunde das aus Gründen nicht haben will oder braucht).

      Es geht mir eher um folgendes:

      Ein IT-Beratungshaus bekommt einen Auftrag vom Kunden. Es soll eine Systemintegration mit MOTS Produkten auf Linux und Windows Servern/Clients durchgeführt und vernetzt werden.

      Die Systeme sollen auf einem ESX Server laufen und untereinander interoperieren.

      Zunächst soll ein Prototyp aufgesetzt werden (beim Beratungshaus). Nachdem der Prototyp läuft, findet eine Besichtigung seitens des Kunden statt, so dass das System begutachtet und abgenommen werden kann.

      Danach wird das System beim Kunden implementiert. Hardware installiert, Betriebssysteme aufgespielt und die notwendige Software aufgespielt und ggf. Eigenentwicklungen (Programmierte Software) deployed werden.

      So!

      Normalerweise spielt man das alles im Beratungshaus auf... Hat seine virtuellen Maschinen auf einem USB-Stick oder Festplatte griffbereit... Macht Termin beim Kunden aus... Installiert das Ganze... Macht Funktionstests... Die QS kommt und nimmt die Anforderungen ab... Der Kunde kommt und geht die Anforderungen nochmals mit dem QS und dem PM durch und nimmt das Projekt letztendlich ab.

      Best Case!

      So... dann möchte ich natürlich nicht, dass auf den virtuellen Maschinen allerhand Müll vorhanden ist, was während der Installation so passiert..

      Source Code den ich vielleicht vorher auf der VM übersetzen und installieren musste... Konfigurationsdateien und ggf. betriebsinterne Skripte die ich darauf laufen lasse..

      Ich möchte das System "sauberst" an den Kunden übergeben, so dass der Kunde immer wieder auf die "Ursprungs VM" zurückgreifen kann, sollte mal was den Bach herunter gehen.

      Da will ich schon, dass das System den sauberst möglichen Zustand hat.

      Eine Verschlüsselung ist sicherlich interessant, hängt aber sehr stark von den Anforderungen des Kunden ab. Du kannst z.B. nicht überall irgendwelche Linuxinternen Verschlüsselungen benutzen, wenn die Anforderungen eine BSI Zertifizierung voraussetzen. Oder das Umfeld so "speziell" ist, dass es halt nicht anders geht.

      Auch wenn du verschlüsselst, dann hat der Kunde die VM ohnehin und kann sie wieder entschlüsseln (weil er sie nutzen muss), mit einer entschlüsselten Partition kannste dann mittels

      dd if=/dev/mapper/irgendwas | grep -A "Suchkriterium"

      Oder indem du das Entschlüsselte auf eine andere Festplatte als Datei pipest, auch auf Fragmente der Altdaten zugreifen und wiederfinden.

      Also...

      Unsinn ist hier fehl am Platze! Es kommt immer auf die Anforderungen des Kunden an.

      Denk daran, in der Wirtschaft arbeitet man für den Kunden. Du kannst ihm eine Verschlüsselung vorschlagen... Nur wenn der Kunde sie nicht haben will bzw. bezahlen möchte, dann ist es eben so. Du setzt halt den Vertrag und die darin festgehaltenen Anforderungen um und lässt dir das Endprodukt vom ihm abnehmen und bezahlen.

      Es geht allerdings viel mehr um das "Reinemachen" einer VM. Auf deinem Rechner kannste machen, wie du möchtest. In eurer eigenen Netzwerkumgebung auch... Wenn du eine VM an den Kunden auslieferst, sollte die schon recht sauber sein.

      Wie ein sauberes Live-System...

      Aber wir scheinen da aus unterschiedlichen Branchen zu kommen, wo die Anforderungen sicherlich unterschiedlich sind.

      • 0
        Von Verfluchtnochmal am Do, 19. Oktober 2017 um 23:17 #

        Dein Problem ist eine schlichte Themenverfehlung!

        Es geht hier um das Problem "wie bekomme ich eine virtuelle disk wieder verkleinert" und du kommst mit "Wie werde ich Daten restlos los" und gibst dazu auch noch die falschen Antworten weil alles was du da im Gast veranstaltest keine garantierte Auswirkung auf die Blöcke am Host hat

        Alles was du da beschreibst gehört am Host erledigt nachdem die Entwicklungs-VM gelöscht wurde und auf moderner Hardware ist dein HOSTFILESYSTEM verschlüsselt ohne impact auf die Performance

        Nachdem du die VM gelöscht hast nullst du den freien Platz am Host und wenn es wirklich ganz sicher sein soll schmeisst du den Key für die Partition weg und legst sie neu an, fertig, kein weg jemals auch nur an ein einzelnes Byte daten zu kommen

        Das im Gast zu machen oder gar das gleiche Gastsystem für einen anderen Kunden weiter zu benutzen und zu versuchen alle Spuren loszuwerden ist einfach nur saudumm, dazu gibt's den Goldenmaster der Softwaretechnisch aktuell gehalten wird aber niemals Datenschutz relevante Daten enthält - Problem gelöst weil es erst gar nicht entsteht

        ABER NOCHMAL: Themenverfehlung, Setzen, 6

        • 0
          Von XYZ am Do, 19. Oktober 2017 um 23:34 #

          Schon einmal darüber nachgedacht, dass ein anderer Leser meinen Beitrag für durchaus interessant halten könnte ?

          Es gibt noch mehr Leute, die die Kommentare lesen und vielleicht das eine oder andere Interessante hieraus ableiten möchten.

          Der Beitrag setzt nämlich genau an Punkt 2) dieses Artikels an.

          In diesem Kontext sollte man sich ggf. nochmal mit Sparse Files auseinandersetzen bevor man zu Methoden wie dd greift... Wäre aber wieder ein anderes Thema. Ich möchte damit jetzt nicht Leute überfordern, die nicht wissen wie man eine VM / in ro mountet, um dann mit zerodisk drauf zuzugreifen...

          Ich schlage vor, du akzeptierst einfach mal einen Userbeitrag in den Kommentaren als gegeben. Für dich mag das alles ok sein... Ein anderer User mag sicherlich noch etwas davon gebrauchen können.

          Soll heissen: Wir beide sind hier nicht alleine auf Pro-Linux.de

        0
        Von Verfluchtnochmal am Do, 19. Oktober 2017 um 23:24 #

        Und wenn du Sourcecode auf der produktiv VM kompiliert hast bist du sowieso ein Trottel, die hat gar niemals einen Compiler zu sehen und demzufolge auch keine sources, dafür gibt es Build Maschinen und Paketverwaltungen

        Ich arbeite jetzt 15 Jahren in der Branche aber auf die saudumme Idee Sourcecode oder compiler mit mit einer produktiv Maschine in Berührung zu bringen ist hier noch keiner gekommen

        • 0
          Von XYZ am Do, 19. Oktober 2017 um 23:37 #

          ... du kapierst es nicht!

          Es war ein Beispiel! Ein "Erklärungsansatz", damit der normale Mensch kapiert was auf der Festplatte noch so an Daten "herumgeistern" können oder könnten.

          Nur weil du gelernt hast in den VMWare Produkten einen Button zu drücken, was dir deine VM verkleinert, so heisst es noch lange nicht, dass man sie nicht noch "kleiner" bekäme, wenn man etwas mehr Sorgfalt pflegt.

          • 0
            Von Verfluchtnochmal am Do, 19. Oktober 2017 um 23:52 #

            WTF - Logisch dass alles was du an Daten wegbekommst den shrink effizienter macht, erzähl mir was neues, ich fahre hier je nach use case production VM's die nur ein paar hundert MB gross sind

            Zerofree oder nullen macht im Kontext deines "wuuu da könnten noch wo Blöcke mit Daten sein" keinerlei Unterschied, auch nicht im Kontext ehemals belegter 4k Block mit physischen Restdaten

            der einzige Unterschied zu dd ist dass die disk temporär nicht auf die volle Größe anwächst und das war es dann auch schon

            • 1
              Von verfl...WTF.etc. am Fr, 20. Oktober 2017 um 09:55 #

              Ich hoffe es liegt nicht an VMWare, dass man sich eine solche Sprache angewöhnt. Falls doch, werde ich VMWare meiden müssen, denn so will ich nicht werden ...

          0
          Von XYZ am Do, 19. Oktober 2017 um 23:40 #

          > Ich arbeite jetzt 15 Jahren in der Branche

          Dann sollte man aber solche Fragen wie das unmounten von / oder in ro re-mounten im Zusammenhang mit zerodisk nicht stellen bzw. nicht *mehr* stellen.

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten