staging.inyokaproject.org

Hallo,

ich würde gerne für eine spezielle Anwendung einen Container bauen. Bevor ich aber mit dem Experimentieren und Basteln beginne, und sich die ganze Arbeit irgendwann als nutzlos erweist, habe ich eine grundsätzliche Frage:

Ist es möglich, den Zugriff auf ein externes USB-Gerät durch das Wirts-System komplett zu verhindern, so daß beim Anstecken eines Dongles dieser direkt und einzig mit dem Container arbeitet?

Konkret geht es um die Software-Dongles, die ab Mai für das Online-Banking der Postbank benötigt werden. Ich möchte diesen Dongle und die Software, die er installiert und startet, gerne von meinem System so fern wie möglich halten, z.B. durch einen Container oder auch eine Virtual-Box. Wenn das jedoch gar nicht möglich ist, besteht die einzige für mich akzeptable Alternative in einem Wechsel der Bank.

Hallo,

ich antworte mal aus der Docker-Container-Denke:

Geräte und auch Filesysteme, die im Container verwendet werden, sind immer auch vom Host sicht- und addressierbar, da der Host diese an den Container "durchreicht" - oder umgekehrt gesprochen: Der Host mit der darauf laufenden Engine (z.B. Docker Engine) kümmert sich darum, dass man im Container ein abgekapseltes System hat, das von anderen Containern und dem Host ein Stück weit getrennt ist. Das gilt aber nur in die eine Richtung: Nämlich dass man aus dem Container nicht (oder nicht ohne weiteres) auf das Host-System kommt. Umgekehrt ist das aber möglich.

Ich kenne jetzt den Dongle nicht und weiß auch nicht ob er überhaupt Software installiert. Falls ja, ist dies sicher nicht ohne weiteres in einem Container möglich - denn dazu müsste der Container erstmal das ganze environment bereit stellen, das die Software benötigt.

VM ist hierbei wohl die bessere Wahl. Mit VirtualBox und VMWare lassen sich USB-Geräte an die VM durchreichen. Wenn du dann in der VM was vom Dongle installierst, ist es dort installiert.

Natürlich kann man trotzdem vom Host "irgendwie" an die VM kommen, aber aus der VM ausbrechen auf den Host ist nicht so ohne weiteres möglich.

Mag sein dass meine Antwort nicht 100% technisch korrekt ist, aber ich hoffe, sie hilft einigermaßen zum Verständnis.

Ich glaube ich habe auch deine Bedenken noch nicht vollständig verstanden. Was genau willst du mit der Trennung erreichen bzw. verhindern?

Falls noch was unklar ist, gerne nochmal melden.

Viele Grüße

BillMaier

edit: Fehler oben korrigiert

BillMaier schrieb:

Ich kenne jetzt den Dongle nicht und weiß auch nicht ob er überhaupt Software installiert. Falls ja, ist dies sicher nicht ohne weiteres in einem Container möglich - denn dazu müsste der Container erstmal das ganze environment bereit stellen, das die Software benötigt.

Siehe dazu dieses Thema:

https://forum.ubuntuusers.de/topic/postbank-bestsign-mit-sealone/

VM ist hierbei wohl die bessere Wahl. Mit VirtualBox und VMWare lassen sich USB-Geräte an die VM durchreichen. Wenn du dann in der VM was vom Dongle installierst, ist es dort installiert.

Das "Durchreichen" von USB-Speicher habe ich schon oft praktiziert. Aber wie sieht es wohl in diesem speziellen Fall aus? Dieser Dongle scheint ein aktives Element zu sein, also völlig anders als ein passiver Speicher.

Ich glaube ich habe auch deine Bedenken noch nicht vollständig verstanden. Was genau willst du mit der Trennung erreichen bzw. verhindern?

Ich will verhindern, daß auf meinem Rechner ungefragt Software und "versteckte" Dateien installiert werden, und das ständig ein Prozess im Hintergrund läuft, den ich aber nur bei Bankgeschäften benötige.

Leider läuft diese Software von SealOne wohl nicht auf einem Raspberry, sonst würde ich den reaktivieren und nur für die Bankgeschäfte benutzen.

wenn ich https://forum.ubuntuusers.de/topic/postbank-bestsign-mit-sealone/ richtig verstehe, installiert die Software von selbst ja gar nichts, sondern du machst das von Hand. Wenn du es also von Hand in einer VM machst, sollte das passen.