ssh/vnc登录虚拟机的安全性

驿窗 · 2022-03-19 10:44:39

一个虚拟机A(ubuntu desktop 20.04)，需要定期查看某个terminal命令运行状态，使用的是显卡直通(必须使用，因为要进行计算)。
主机是debian。

因为虚拟机A使用显卡直通，所以，无法使用virt-manager创建的界面查看虚拟机，必须通过另一个显示器查看。

虚拟机A单独占用一个显示器会导致其它工作不顺畅，想改用ssh/vnc连接，这里涉及到个安全问题，有以下问题：

需求目标：
1. 虚拟机A中的内容，尤其是terminal中运行的程序，不希望被外网看到，或者数据被不安全的程序传输到外网；
2. 虚拟机A不占用单独的显示器；
3. 不定期查看虚拟机A中terminal的输出，比如一天两次；

当前条件：
1. 必须假设虚拟机A中已经存在不安全的程序/进程；
2. 可以考虑用主机或另一个虚拟机B通过ssh/vnc连接虚拟机A；
3. 主机必须联网，另一个虚拟机B可以断网。
4. 虚拟机A可以断网运行；
5. 虚拟机A需要长期运行(比如3到6个月)，中途可以偶尔关机，意外掉电没关系；
6. 虚拟机A运行期间，不需要任何额外的控制操作，只需要被查看。

--------------------------
上面是大概的描述，不知道是不是足够明确。我对ssh/vnc了解有限，想知道大概要怎么设置ssh/vnc？
或者，ssh/vnc无法实现我的需求，只能使用单独的显示器？

我查过ssh/vnc安全的一些要素，比如限制用户、限制IP、限制会话时间等，但不清楚按上面的“当前条件”，尤其是第一条存在的时候，需要怎么做才安全。

最近编辑记录驿窗 (2022-03-19 11:04:12)

FallingSky_42 · 2022-03-19 11:15:04

不知道tmux能不能符合你的要求。

依云 · 2022-03-19 11:15:44

1. 网络隔离
2. 你不是要直通显卡么？显示器是接在显卡上的
3. ssh 到主机上再 ssh 进去看就行了。只要你 ssh 到主机是安全的，那么数据就不会泄漏

驿窗 · 2022-03-19 18:10:06

1. 网络隔离，我的理解是，让虚拟机和主机在不同的两个网段，这样互相就不能访问，这么理解对吧？
2. 显卡直通，导致我必须接显示器，但我希望不接显示器；目前在不接显示器的情况下，我能想到的，只有vnc/ssh；如果能接显示器，就不需要ssh/vnc了;
3. ssh到主机再ssh回去，应该需要先在虚拟机上能输出显示，否则看不到没法操作，这里我的理解是不是有问题？

驿窗 · 2022-03-19 18:11:42

FallingSky_42 说：

不知道tmux能不能符合你的要求。

我大概看了一下，好像tmux只是终端复用，感觉用不上~

依云 · 2022-03-19 18:46:09

1. 主机和虚拟机能互相访问，但是虚拟机不能通过主机访问别的地方（假定你的主机是安全可信的）
2. 是否需要接显示器取决于你的显卡。那些不接显示器就不工作的显卡，你也可以接一个「假的显示器」，就是告诉显卡自己是显示器但是实际上它并没有显示能力的东西
3. 不明白。你都走 ssh 了，还要显示器来显示什么？

驿窗 · 2022-03-19 19:36:49

先ssh到主机，再ssh回虚拟机A。
我理解的是，先从虚拟机A用ssh连接到主机，再从主机ssh连接到虚拟机。如果这个理解正确，那么从虚拟机A用ssh连接到主机的操作，从哪里查看？这个地方我觉得需要显示才能操作~

依云 · 2022-03-19 19:58:52

从主机 ssh 到虚拟机啊。

驿窗 · 2022-03-19 22:18:24

主机ssh到虚拟机我理解~

ssh到主机是啥？

ps:
我刚才搜索了一下虚拟显示器，还真有这东西，jd上好多，好像挖以前挖矿会用到。我试了一下直通的虚拟机，如果显卡不插HDMI，确实不能用，看来还要买一个。

FallingSky_42 · 2022-03-20 09:05:21

驿窗说：

FallingSky_42 说：
不知道tmux能不能符合你的要求。
我大概看了一下，好像tmux只是终端复用，感觉用不上~

丝滑分屏（split），虽然iTem2也提供了横向和竖向分屏功能，但这种分屏功能非常拙劣，完全等同于屏幕新开一个窗口，新开的pane不会自动进入到当前目录，也没有记住当前登录状态。这意味着如果我ssh进入到远程服务器时，iTem2新开的pane中，我依然要重新走一遍ssh登录的老路（omg）。tmux就不会这样，tmux窗口中，新开的pane，默认进入到之前的路径，如果是ssh连接，登录状态也依旧保持着，如此一来，我就可以随意的增删pane，这种灵活性，好处不言而喻。
保护现场（attach），即使命令行的工作只进行到一半，关闭终端后还可以重新进入到操作现场，继续工作。对于ssh远程连接而言，即使网络不稳定也没有关系，掉线后重新连接，可以直奔现场，之前运行中的任务，依旧在跑，就好像从来没有离开过一样；特别是在远程服务器上运行耗时的任务，tmux可以帮你一直保持住会话。如此一来，你就可以随时随地放心地进行移动办公，只要你附近的计算机装有tmux（没有你也可以花几分钟装一个），你就能继续刚才的工作。
会话共享（适用于结对编程或远程教学），将 tmux 会话的地址分享给他人，这样他们就可以通过 SSH 接入该会话。如果你要给同事演示远程服务器的操作，他不必直勾勾地盯着你的屏幕，借助tmux，他完全可以进入到你的会话，然后静静地看着他桌面上你风骚的键盘走位，只要他愿意，甚至还可以录个屏。

引用自《Tmux使用手册》——路易斯

依云 · 2022-03-20 13:10:45

驿窗说：

主机ssh到虚拟机我理解~
ssh到主机是啥？

登录到主机呀。你主机不是没显示器用么？那就只能远程登录啦。

驿窗 · 2022-03-20 16:56:28

这个是我没说清楚，主机一直有显示器，一共两个显示器~

所以，我直接从主机ssh到虚拟机A就可以了，不需要前面从虚拟机ssh到主机那一步，对吧？

最近编辑记录驿窗 (2022-03-20 17:00:51)

驿窗 · 2022-03-20 16:59:02

FallingSky_42 说：

[*]保护现场（attach），即使命令行的工作只进行到一半，关闭终端后还可以重新进入到操作现场，继续工作。对于ssh远程连接而言，即使网络不稳定也没有关系，掉线后重新连接，可以直奔现场，之前运行中的任务，依旧在跑，就好像从来没有离开过一样；特别是在远程服务器上运行耗时的任务，tmux可以帮你一直保持住会话。如此一来，你就可以随时随地放心地进行移动办公，只要你附近的计算机装有tmux（没有你也可以花几分钟装一个），你就能继续刚才的工作。
[/*]

我也发现这个问题，只用普通的terminal好像无法在ssh断开之后重新查看进程的输出，必须使用类似tmux这样的功能，而且我也测试了一下，确实可以重新回到之前的会话。看来必须要用tmux～

依云 · 2022-03-20 19:17:49

驿窗说：

这个是我没说清楚，主机一直有显示器，一共两个显示器~
所以，我直接从主机ssh到虚拟机A就可以了，不需要前面从虚拟机ssh到主机那一步，对吧？

哦，是啊……

Arch Linux

#1 2022-03-19 10:44:39

ssh/vnc登录虚拟机的安全性

#2 2022-03-19 11:15:04

Re: ssh/vnc登录虚拟机的安全性

#3 2022-03-19 11:15:44

Re: ssh/vnc登录虚拟机的安全性

#4 2022-03-19 18:10:06

Re: ssh/vnc登录虚拟机的安全性

#5 2022-03-19 18:11:42

Re: ssh/vnc登录虚拟机的安全性

#6 2022-03-19 18:46:09

Re: ssh/vnc登录虚拟机的安全性

#7 2022-03-19 19:36:49

Re: ssh/vnc登录虚拟机的安全性

#8 2022-03-19 19:58:52

Re: ssh/vnc登录虚拟机的安全性

#9 2022-03-19 22:18:24

Re: ssh/vnc登录虚拟机的安全性

#10 2022-03-20 09:05:21

Re: ssh/vnc登录虚拟机的安全性

#11 2022-03-20 13:10:45

Re: ssh/vnc登录虚拟机的安全性

#12 2022-03-20 16:56:28

Re: ssh/vnc登录虚拟机的安全性

#13 2022-03-20 16:59:02

Re: ssh/vnc登录虚拟机的安全性

#14 2022-03-20 19:17:49

Re: ssh/vnc登录虚拟机的安全性

页脚