Проблема с обменом данными в Whonix

Я сам не понимаю, что вы изобразили на схеме, и как это соотносится с вашими словами:

Понятно, что обмен виртуалок с Инетом нужно производить не напрямую из незащищенных виртуалок, а только через «паровозик» «Whonix. Ну и напрямую между самыми виртуалками, иначе это не секурность, а профанация.

У вас в схеме виртуалки общаются напрямую друг с другом, это и есть ход вашей «секьюрной мысли»?

Мне кажется вам нужно выбрать, что-то типо Qubes OS + Whonix

Объясните пожалуйста, а в чем проблема создать для каждой «секьюр вм» ещё один виртуальный сетевой интерфейс. На них не будет доступа в интернет, а будет доступ по статическому маршруту на другую «секьюр вм». Так вы сможете передавать данные в обход whonix и в принципе без доступа в интернет. Если вам нужно отправлять данные на Workstation, то сделайте и там второй изолированный интерфейс.

Зачем вам делать обмен между ВМ по sshfs, через всю сеть тор? Как это укрепляет секурность?

У вас в схеме виртуалки общаются напрямую друг с другом, это и есть ход вашей «секьюрной мысли»?

Ну да, виртуалки здесь, имхо, общаются с друг другом без обращения к Инету. А что не так?

Мне кажется вам нужно выбрать, что-то типо Qubes OS + Whonix

Qubes да, удивительная и интерсная система! Но в ней есть свои особенности, к которым так и не смог привыкнуть, поэтому решил сообразить что-нибудь из описанного выше.

Объясните пожалуйста, а в чем проблема создать ....

Проблема в весьма скромных сетевых познаниях.

Зачем вам делать обмен между ВМ по sshfs, через всю сеть тор? Как это укрепляет секурность?

Почему через Tor? Хочется же напрямую между ними без Тора, я и стрелками это показал.

Проблема в весьма скромных сетевых познаниях.

ТЯЖЕЛО. Нужно создать ещё одну сетевую карту на каждой сесурити вм, назначить статические маршруты ip, общаться по ssh/sshfs. Проблема тривиальная, whonix ничего блокировать тут не может, потому что к нему никто не обращается.

Инструкцию тут вам писать никто не будет, это базовые вещи в настройке сети и работе с qemu-kvm, libvirt и тд. Разбирайтесь, читайте литературу, напишите нейросети в конце концов.

Что ж, спасибо за заданное направление, появился некоторый шанс.
А вы можете еще раз повторить ваши словесные рекомендации несколько подробнее, чтобы я ничего не упустил?

А вы можете еще раз повторить ваши словесные рекомендации несколько подробнее, чтобы я ничего не упустил?

Прежде чем заниматься сесурностью ознакомьтесь с базой (скорее начальной школой) по компьютерным сетям, в ином случае ваши игры могут быстро кончиться, а вы даже не поймете почему.

Тогда, пожалуй, я вернусь на Qubes.
В ней хотя все очень непривычно, но все уже украдено настроено до нас, и безопасный обмен между VM есть в готовом виде (имхо)

Плюс ко всему сетевых знаний у меня совсем немного

Топик надо было начинать с этой фразы.

и безопасный обмен между VM есть в готовом виде (имхо)

Продолжайте жить в вашем «имхо».

Но проприетарный VBox это несерьезно,

Когда это он стал проприетарным?

Топик надо было начинать с этой фразы.

Ну это и по умолчанию понятно. Если бы я разбирался в сетях, то молча решил бы эту проблему и никого не беспокоил.

Когда это он стал проприетарным?

Ну, не сам VBox, а Extended диск к нему, без которого буфер обмена не работает.
И в самом VBox движуха нехорошая, убрали встроенный BIOS.

Ладно, вкурил вашу критику, что дальше? Возвращаться на Qubes, других реальных советов не будет?

Только не говорите изучать сети :-) Это надолго, если не навсегда

Патрик увидел троллинг тупостью и удалил тролля. А что случилось-то?

в виртуалбокс (и в квм) есть шаред фолдерс. это самый быстрый и простой способ обмениваться файлами с виртуалкой

в виртуалбокс (и в квм) есть шаред фолдерс.

Спасибо, что напомнили. Только я с этого шаред и начал.
Настройка получилась без вопросов, виртуалки прекрасно видят эту шару.

Но обнаружился маааленький проблем: все, что не положу в эту шару, ни одна вирталка это не видит :-(

подключи сей шаред к каждой виртуалке :)

https://wiki.qemu.org/Documentation/9psetup

Нарисовал эту схему и выложил на форум: https://ibb.co/wFNGYFth

* Создаешь 2 bridge
* Один для internal обмена
* Второй для external (выход в интернет через whonix)
* Подключаешь vm secure к internal bridge
* Подключаешь vm secire и whonix workstation к external bridge
* Настраиваешь на internal севетвых картах адреса из одной подсети (анпример 192.168.100.0/24) без def. gw
* Настраиваешь на external сетевых картах адреса из другой подсети (например 192.168.101.0/24) в качестве def.gw адрес машины с whonix
* На whonix workstating настраиваешь ip forwarding, nat, firewall (вот тут ен подскажу, не работал с whonix) - и вот этот вопрос (как пустить через whonix любую другую vm в интернет) тебе надо было спрашивать у них на форуме, там не важно vbox или kvm, настраивается однотипно внутри vm
* Если нужен доступ с хоста, то добавлешь его в internal br и настраиваешь статический ip

Но вообще это даже перебор, можно одним external br обойтись, трафик между secure vm всеравно будет по l2 ходить и в интернет не попадет.

Сколько людей, столько и мнений :-)

Сначала меня застращал mamina_radost, предостергая от самоделок.
Согласен, правильно сделал, я-то знаю свои неслыханные возможности :-)
И я уже со вздохом собрался было возвращаться на такую необычную Qubes.

Теперь пошли противоположные советы. И я теперь на распутье, стою как Илья Муромец перед камнем - куды кресьянину податься? :-)

Сначала меня застращал mamina_radost, предостергая от самоделок.

Почитал, да он о том-же что и я говорит, только другими словами)

В смысле тоже стращаете? :-)

подключи сей шаред к каждой виртуалке :)

Как? ;-)

https://wiki.qemu.org/Documentation/9psetup

Спасибо, добрый анонимус, этого я еще не читал!

в каждой виртуалке настраиваешь шаред фолдерс, указывающей на одну и ту же директорию в хосте.

Да так и делал, как же иначе.
Но сейчас смутило другое: в этих всех shared, 9p и т.п. обмен идет через файловую систему самой небезопасной системы - хоста, так ведь?
В таком случе о секюрности говорить не приходтся.

почему небезопасной ?? закрой диру от всех на хосте и будет тебе секурность. тебе ж сколь понял и нужно взаимодесйтвия по файлам между гостем и хостом.
если файлики нужно только внутри виртуалок гонять, то храни их на одной из виртуалок, а ко всем остальным прокинь через nfs.

pfg
Откровенно говоря. я уже было собрался обратно переползать обратно на Qubes.
Но случайно наткнулся на это видео _https://youtu.be/2OgnmV2SS4c
в котором автор, большой гуру секюрности, на 4:10 поругивает реализацию Whonix в Qybes:

в-третьих
...версия Whonix для не имеет многих функций безопасности, которые реализованы в версиях для других систем, а это уже
минус именно безопасности причём в наиболее ключевом моменте приватной интернет-активности.

Из видео вышел на статью _https://libretrack.space/articles/Advantages_and_disadvantages_of_the_Qubes_system.xhtml ,
а из нее на уже знакомое обсуждение недостаток Whonix в Qubes:
_https://forums.whonix.org/t/qubes-whonix-security-disadvantages-help-wanted/8581

Я и раньше видел это обсуждение, но тогда не придал ему значение.
А теперь задумался: так ли уж в самом деле серьзные эти недостатки этого Whonix in Qubes, как считаете?
Тем более что устранение этих недостатков в этом обсуждении вроде как затихло, Патрик давно помалкивает.

тебе ж сколь понял и нужно взаимодесйтвия по файлам между гостем и хостом.

Нет, наоборот, только между виртуалками, доверять хосту ничего не хочу, его залача только предоставление транзитного доступа в Инет.

если файлики нужно только внутри виртуалок гонять, то храни их на одной из виртуалок, а ко всем остальным прокинь через nfs.

Ок, а почему именно nfs, а не sshfs?

как ты будешь надувать пузырь защиты это лишь твое дело :) оно зависит от потребностей, а не от рекламы и крутых названий.
замысел whonix в виде двух отдельных виртуалок для рабочей станции и моста в том, что проги, запущенные на рабочей станции, не имеют доступа к реальной сети и сетевым железкам, а на «мосту» работает только прога, связывающая виртуальную сеть и тор. чтобы считать параметры реальных сетевых интерфейсов понадобится хакнуть мост, а он отделен от раб.станции и потому сие трудно.
замысел whonix прост и реализовать его можно на чем угодно.

и та же ситуация с nfs. я не думаю что одна из виртуалок внутри пузыря защиты будет пытаться хакать связь между двумя другими, так что защита не требуется. достаточно и простого, но быстрого nfs.
но опять же выбор за тобой.

пакет tor есть в дебиан, свои сервисы в .onion могёшь публиковать, по ssh могёшь на сервисы .onion попадать, смысл в отдельном постоянно работающем Whonix?
Он нужен только для полной ананимности.
Как средство попадания в тор избыточен, террор что нужно сделать из него не свойственую ему вещь, который может нарушить главную задачу, зачем?

зачем?

Картинку и описание гляньте, там все вроде разжевано

выкини Whonix, пробрось порт прокси (tor) в нужные тебе виртуалки, не?
это по совсем по простетски, и будут из вртуалок доступны ресурсы локальной машины и порт прокси, остальной интернет и локалка будет заблокированы, не?

делать дырки в Whonix, нарушая его идею, зачем?

у %тс% какието заморочки с защищенностью.
поднять виртуалку с мостом между виртуальной сетью и тором достаточно просто. зато виртуальная сеть будет качественно оторвана от нативной сети.

я тупой, тор толко как прокси и через проксификаторы использую, он могёт свою сеть устройство TUN/TAP делать?

Ну да, можно было бы выкинуть Whonix. Даже не так - Whonix-Workstation выкинуть, Whonix-Gateway оставить и пропустить через него виртуалки.
Так раньше делал, когда не нужна была большая секурность, но такому своему наколенному решению я сам не доверяю.
Наверняка в оригинальном Whonix-Workstation предприняты более грамотные меры по обечпечению секурности.

Делать дырки в Whonix я вовсе не собирался, что вы! Кажется, выше я говорил об этом

И поскольку пока простое и грамотное решение пока у меня не получается, пришла совершенно глупая, но простая и рабочая идея:

- а что, если в качестве обменника поднять обычный сервер с SSH-доступом, где складывать и забирать данные?
Только поднять его не в Инете, а прямо в локалке, где работает этот комбайн с виртуалками.

Только поднять его не в Инете, а прямо в локалке,

Для этого нужна какая-то хитрая маршрутизация?

s-warus можно. тоже не использовал :) как обычно гуглишь «завернуть весь трафик в тор» - куча ссылок будет. в принципе, «мост» этим вот самым аккурат и занимается :)

опять винегрет… ты собственно и делаешь из своих виртуалок кучу Whonix-Workstation.

если ты не хочешь делать дырки в whonix, то что ты хочешь ?? %)
напиши прямыми словами что тебе надобно старче.
«cli/gui-доступ внутрь виртуалок», «обмениваться файлами с виртуалками», «оркестрировать содержимое и ихнюю работу» али еще что…

Вы правы, малость запутался, хотя старался изложить подробно.
Попробую еще раз, заглядывая в свою же картинку https://ibb.co/wFNGYFth
Загляните и вы в нее тоже, так будет понятнее.

Итак, есть 3 приватных виртуалки VM Secure 1 ... VM Secure 3
В них происходит основная работа. Они практически одинаковы, разница только в установленном софте (офис, медиа и т.п.) и обрабатываемых данных.
Доступ в Инет им запрещен!

Но эти VM должны напрямую обмениваться своими данными, и очень желательно не проходя через хост (которому особого доверия нет), для чего и указаны стрелки «direct»

Изредка продукты деятельности VM нужно выкладывать в Интернет.
Но поскольку доступа в Инет у VM нет, юзер должен брать у них данные и выкладывать их на Workstation, а там тот же юзер вручную отправляет их в Инет. Ну и в обратном направлении.
Вроде так.

Update.
Имхо, то что я изобразил, и есть Qubes, там все сделано до нас.
Но у него свои проблемы, надо привыкать, а еще он у меня на моем железе ну очень медленно ворочается.
А мой «KVM-самосбор» на Debian- ну просто летает!

Whonix-Workstation выкинуть, Whonix-Gateway оставить и пропустить через него виртуалки.

Whonix-Workstation оставить, VM1-3 подключить к Whonix-Gateway, но запретить им доступ в интернет. Подключаться из Whonix-Workstation по sftp к VM1-3. Или городить из Whonix-Workstation свой собственный гибрид Whonix-Gateway-Workstation.

Whonix-Workstation выкинуть,
Whonix-Workstation оставить,

Сколько людей, и столько мнений :-) И это хорошо!

Ваш вариант не знаю пока чем, но понравился, прозрачнее, что ли.
В нем есть преимущество: вместо того, чтобы проникать из VMs в Whonix-Workstation (для чего в последней придется делать дыру, нарушая безопасность), куда логичнее сделать так, как вы предложили, т.е. из Whonix-Workstation подключаться к VMs.

Но конечно, я с таким же уважением ко всем предыдущим предложенным вариантам.
Городить свой гибрид конечно не следует, он по своим х-кам точно уступит оригинальному, в который Patrick заложил много ценного.

А с какой целью надо подключать VM1-3 к Whonix-Gateway?
И пока не могу себе представать, что понадобится для подключения Whonix-Workstation к VM1-3 по sftp.

А с какой целью надо подключать VM1-3 к Whonix-Gateway?

Нужно что бы VM1-3 и Whonix-Workstation были в одной (виртуальной) подсети, иначе они не смогут обмениваться файлами.

что понадобится для подключения Whonix-Workstation к VM1-3 по sftp

ssh сервера в VM1-3 и ssh клиент в Whonix-Workstation.

sinaps,
Мне ваша плодотворная идея нравится все больше и больше! :-)
Я уже вплотную подобрался к ее реализации, но наткнулся на одно «но».
И кстати, вы наверное по ошибке написали Whonix-Gateway, а хотели Whonix-Workstation?

Так вот, я поместил VM в одну подсеть с Whonix-Workstation (10.152.152.X), и уже по идее я должен получить доступ по SSH из Whonix-Workstation в VM.
«Но» заключается в том, что неугомонный Patrick в своем Whonix/KickSecure позапрещал все локальные связи, даже ping (и это, конечно, правильно с точкие зрения безопасности), поэтому VM из нее не пингуется и не ссашится.
(несколько лет назад, емнип, таких строгих блокировок еще не было).

Поэтому изучаю конфиги Whonix-Workstation с целью разблокировать из нее доступ по SSH только в VMs.
Имхо, это небольшое послабление защиты никак не уходшит общую безопасность и анонимность Whonix,

Патриковские блокировки где-то тут:

/etc/whonix_firewall.d/30_whonix_gateway_default.conf
/etc/whonix_firewall.d/30_whonix_host_default.conf
/etc/whonix_firewall.d/30_whonix_workstation_default.conf

/etc/whonix_firewall.d/50_user.conf - пуст

На шлюзе firewall тоже настраивать придётся. Смотрите передаются ли пакеты между VM1-3.

/etc/whonix_firewall.d/50_user.conf - пуст

Читайте документацию про настройки firewall, там всё написано как порты открывать.

На шлюзе firewall тоже настраивать придётся.

Пока не понимаю зачем. Ведь например, если бы шлюза не было бы вообще, то Workstation-Whonix и VMs, если бы они были в одной подсети, могли бы спокойно общаться.

Читайте документацию про настройки firewall,

Какую именно вы имеете в виду - общую по файрволам, или конкретно к тем, которые используется в Whonix?

если бы шлюза не было бы вообще, то Workstation-Whonix и VMs

Ни как не могли бы ни чего отправлять в интернет.

Пока не понимаю зачем.

Что бы у вас VM1-3 в интернет не попали.

которые используется в Whonix?

Документацию Whonix. Настроки Firewall для Whonix-Gateway и Whonix-Workstation.

Ни как не могли бы ни чего отправлять в интернет.

Разуммется, VMs не могли бы отправлять в Инет, но я имею в виду другое - что доступ Whonix-Workstation к VMs был бы, если в настройках VMs указать в качестве шлюза адрес Whonix-Workstation.

Заодно, при такой настройке шлюза для VMs они автоматически не смогли бы попасть в Инет.
Хотя да, конечно, для надежности их можно дополнительно заблокировать в Whonix-Gateway по принципу «запретить все, кроме».

Документацию Whonix.

ее и изучаю. Тут все очень интересно, например:
_https://www.whonix.org/wiki/Multiple_Whonix-Workstation
_https://www.whonix.org/wiki/Multiple_Whonix-Workstation#Non-Qubes-Whonix

PS. На всякий случай: я с вами не спорю, а советуюсь :-)
Кстати, вы с Qubes работали?

эти VM должны напрямую обмениваться своими данными

на одной виртуалке создаешь хранилище данных и раздаешь его по остальным. все данные живут внутри пузыря.

Изредка продукты деятельности VM нужно выкладывать в Интернет.

делаешь еще одну виртуалку, которая будет передавать данные между пузырем и локалкой. проброс портов для ssh или доступ к шаред фолдерс или еще что…
но только одно, но очень хорошо :)
разделяй и властвуй.

опять же не понял про отсуствие интернета. интернет же доступен через тор.

Пацан, похоже, близок к успеху :-) Но чего-то еще не хватает.

pfg, сорри, можете переформулировать «пузырь» во что-то более понятное и близкое к IT-терминологии?
А то никак не могу вкурить, что оно такое.

Насчет создания дополнительной виртуалки для хранения тоже думал, но это дополнительный элемент в системе, а это не есть хорошо.
И если можно обойтись без него, то к этому и нужно стремиться.
Хотя в такой схеме есть один свой плюс.

Насчет shared folder. Непонятно, как оно и через что работает и шифруется ли.
Если через хост и не шифруется, то ну ево нафиг.
Зато sshfs точно шифруется, и уже неважно, через хост проходят данные (это вряд ли) или напрямую между VMs (скорее всего).

- Вот что мы имеем на сегоднящний день
- Извините, не мы, а ... вы

Ну да, я :-)

Значит, картина такая: система Whonix из Gateway и Workstation:

Gateway
-------
auto eth0
iface eth0 inet static
	address 10.0.2.15
	netmask 255.255.255.0
	gateway 10.0.2.2

auto eth1
iface eth1 inet static
	address 10.152.152.10
	netmask 255.255.192.0

Workstation
-----------
iface eth0 inet static
	address 10.152.152.11
	netmask 255.255.192.0
	gateway 10.152.152.10

VM 1
-----
iface enp1s0 inet static
	address 10.152.152.12/18
	netmask 255.255.192.0
	gateway 10.152.152.11

VM 2
-----
iface enp1s0 inet static
	address 10.152.152.13/18
	netmask 255.255.192.0
	gateway 10.152.152.11

в качестве шлюза для виртуалок используется Workstation

Все VM в одной подсети. Default Gateway хоть вообще можно удалить у VM1-3, кому интернет не нужен.

нет, потому что, имхо, в Workstation в качестве шлюза прописан Gateway

Default Gateway тут ни при чём. Доступ по ssh между VM1-3 есть?

И человек с такими знаниями играет в секурность. Объяснять таким людям что делать, только вредить. Он что-то там налепит и будет сидеть довольный, думая, что защитился от злой гэбни. Patrick Schleizer сразу всё понял.