Пароли стоят простые, поэтому SSH в сборке выключен из автозагрузки.
Варианты обмена файлами с ВМ:
- подключение из ВМ к внешнему серверу FTP / SSH / WebDAV - программы Gigolo, mc
- есть самба-клиент (для подключения к виндовым шарам)
- монтирование образов напрямую к ВМ.
- подключение извне к ВМ.
Для этого надо сделать следующее:
в настройках ВМ поставить тип сетевого включения - Сетевой мост вместо NAT.
Логинимся на отдельной консоли (прожимаем Ctrl-Alt-F2 на виртуальной клавиатуре), надо ввести логин root и рут-пароль из readme (ввод пароля не отображается !) , mcedit /etc/ssh/sshd_config (отредактировать PasswordAuthentication= yes в конце конфига), systemctl start sshd, ip a (посмотреть ip вм-ки)
снаружи: с помощью SSH-клиента (mc, WinSCP) соединиться с виртуальной машиной пользователем user1
Чтобы SSHd запускался всегда, даём команду systemctl enable sshd
- Общие папки. Работают и монтируются на лету, но по умолчанию доступны только руту и группе vboxsf.
Для удобства добавьте пользователя user1 в группу vboxsf:
Код:
usermod -G vboxsf user1
и ребутнитесь.
Обновления.
Автоматические обновления отключены (удалены dnfdragora / PackageKit). Надо обновить систему - ручками
dnf update -y и
reboot в терминале от
рута.
Если очень захочется на более новую федору - в помощь команда
dnf system-upgrade. Понадобится ещё несколько гигов места, и это более рискованный тип обновления.
Безопасность.
Если вы включили SSH с парольной авторизацией, поставьте стойкий пароль. Но лучше настройте авторизацию по ключам - это несложно.
Адобе флеш сам по себе крайне небезопасен. Используйте снапшот чистого состояния и всегда откатывайте к нему ВМ после работы с неизвестными сторонними файлами.
Если вы используете старую ОС на основном хосте - после закидывания файлов внутрь ВМ можете отключить ВМ от сети (в ВМ меню -> Устройства - Сеть -> снять опцию "Сетевой кабель подключён" )
SELinux-restricted логин
В этой версии включена такая настройка. Теперь в рамках той же GUI-сессии нельзя апнуться до рута, даже зная его пароль.
Для всех системных действий потребуется отдельный логин на отдельной консоли (для включения нужно вызывать виртуальную клавиатуру и использовать комбинации клавиш Ctrl+Alt+F2 / Ctrl+Alt+F1).
Это закрывает возможность делать su до рута из GUI-сессии, закрывает доступ к ряду системных настроек и устройств, пользователь вообще не видит с списке процессов команды других пользователей. Работе флеша, доступу в интернет и монтированию образов это не мешает.
Как это поменять ?
- вызываем виртуальную клавиатуру, прожимаем Ctrl+Alt+F2, логинимся рутом напрямую.
Код:
# снимаем SELinux-ограничения с логина user1
semanage login -d user1
# Ставим SELinux-ограничения контекста user_u для логина user1 (всё работает, кроме шаренных каталогов и поднятия привилегий паролем)
semanage login -a -s user_u user1
# Ставим SELinux-ограничения контекста xguest_u для логина user
# (не рекомендую, пользователям этого контекста недоустпна звуковая карта, программный ребут заблокирован, пользователь может только разлогиниться)
semanage login -a -s xguest_u user1
- ребутимся.
Почему именно Fedora
Это hardened-GNU/Linux дистрибутив с _включенным_ SELinux и рядом защитных мер в ядре, при этом достаточно простой в использовании и весьма надёжный.
В системе не установлены средства запуска DOS/Windows приложений, что делает бесполезным подавляющее большинство старых вредоносных нагрузок, которые в те времена запросто могли встречаться во флеш-контенте, но были заточены сугубо под связки типа IE@виндовс. Это, конечно, не является 100% гарантией, но существенно снижает риски использования. В текущей сборке также применён крайне агрессивный рестрикт - пользователь теперь под селинукс-защитой, контекст user_u.
Особо параноидальный режим сетевой защиты (изоляция от локалки / белый список / мониторинг траффика)
Поднимите рядом ещё одну небольшую ВМ вот отсюда:
https://rutr.life/forum/viewtopic.php?t=6258575
В настройках ВМ с флешем укажите тип сетевой карты - "внутренняя сеть", имя сети укажите такое же, как и у второй сетевой карты от мини-гейта.
У первой сетевой карты мини-гейта поставьте тип "сетевой мост" к своей физической сетевой карте.
Запустите обе ВМ. Флеш-контент через такой шлюз не сможет получить доступ в локальную сеть, при этом коннекты во внешний мир проходить будут.
Мини-гейт даёт вам полный контроль над траффиком ВМ с флешем.
При желании можно настроить файервол и на самой ВМ, прописав фильтры в iptables / OUTPUT.
Очень жирная ВМ. Есть полегче ?
Да. Вот тут:
https://rutr.life/forum/viewtopic.php?t=6376169 более легковесная система для проигрывания флеша, но оно больше для SWF-файлов.
Для веб-интерфейсов лучше текущая сборка на федоре.
НЕ ИСПОЛЬЗУЙТЕ одну и ту же ВМ для работы с неизвестным флеш-контентом и критичными сервисами типа банк-клиента в любом случае.
Мануал по импорту в ProxMox (серверный гипервизор):
https://www.youtube.com/watch?v=4lYulcTd5yc