BIOS Optionen neuer Proxmox Server

christophs said:
Ja genau ich meinte 11 - sorry bin da noch nicht so erfahren im Forum :)
Danke - das heisst ich muss irgendwie ACS bzw ACS Override aktivieren nehm ich an
Click to expand...
Ja. Und dann nicht vergessen, dass das trotz ACS Override keine Geling-Garantie gibt und das du dir damit die Sicherheit reduzierst. Gibt dann keine Isolation von PCIe Geräte mehr und die dürfen wegen DMA auf den RAM zugreifen. Mit Pech liest dir dann VM1 die Passwörter und Co aus dem RAM von VM2 aus...
 
Last edited:
Funktioniert leider nur mit ACS Override. Im Bios habe ich die ACS Option gar nicht.

Und leider auch nicht ganz. Die nvme lässt sich durchreichen der ASM1166 leider nicht.

Beim Start der VM kommt das
kvm: -device vfio-pci,host=0000:06:00.0,id=hostpci1,bus=pci.0,addr=0x11,rombar=0: vfio 0000:06:00.0: Failed to set up TRIGGER eventfd signaling for interrupt INTX-0: VFIO_DEVICE_SET_IRQS failure: Transport endpoint is not connected
TASK ERROR: start failed: QEMU exited with code 1

Finden tu ich dazu leider genau nichts :(
 
Dunuin said:
Gibt dann keine Isolation von PCIe Geräte mehr und die dürfen wegen DMA auf den RAM zugreifen. Mit Pech liest dir dann VM1 die Passwörter und Co aus dem RAM von VM2 aus...
Click to expand...
Ich hätte mir gerne auf Basis des Board einen stromsparenden und günstigen Homeserver aufgebaut.
Um auf einen separaten HBA zu verzichten, hätte ich gerne die 6 SATA Ports per Passthrough an eine TrueNAS-VM durchgereicht.

Die vier SSDs für PVE Boot und VM-Storage hätte ich über eine PCIe x16 ==> 4x M.2 PCIe Karte gelöst und sowohl für PVE als auch den VMStorage einen ZFS-Mirror bereitgestellt.

Um das so zu lösen brauche ich ACS Override, weil sonst der gesamten Chipsatz an die TrueNAS-VM geht.
Wie gefährlich ist es, dass wirklich Passwörter der einen VM von einer anderen aus dem RAM ausgelesen werden?
 
Wenn nur vertrauenswürdige Personen auf deine VMs zugreifen, die nicht vorhaben dir zu schaden, nicht sonderlich. Richtig problematisch wird es wenn du z.B. VPS vermieten willst, dir eine VM gehackt wird und sich der Schaden dann noch auf weitere VMs erstreckt etc.
 
  • Like
Reactions: brightrgb
Dunuin said:
Wenn nur vertrauenswürdige Personen auf deine VMs zugreifen, die nicht vorhaben dir zu schaden, nicht sonderlich.
Click to expand...
Danke, aber ich sehe schon da wird oft einfach gesagt mach dies und gut ist. Am Ende besteht hier doch ein gewisses Risiko.
Beschränkt sich das Risiko dann nur auf die IOMMU-Group oder ist das ganze System betroffen?

Ich glaub ich will ACS Override wohl doch eher nicht.
Muss ich mir wohl andere Alternativen überlegen oder ein anderes Board oder sonst etwas! :(
 
brightrgb said:
Beschränkt sich das Risiko dann nur auf die IOMMU-Group oder ist das ganze System betroffen?
Click to expand...
Soweit wie ich das verstanden habe hebst du sämtliche Isolation zwischen den PCI(e) Geräten auf. NICs, Soundkarte, Disks, USB, GPU, ... alles was da irgendwie per DMA den RAM ließt/schreibt kann dann ggf. auf sensible Daten zugreifen. Ist dann halt ein weiterer offener Angriffsvektor...ob den dann wer ausnutzt ist natürlich noch eine andere Sache und da muss dann jeder für sich selbst das Risiko abschätzen.
Aber vielleicht kann das wer anderes mit mehr Detailwissen besser erklären.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back