Чтобы препятствовать тому, чтобы хосты получили доступ к ресурсам, я думаю, что Вам, вероятно, придется посмотреть на использование IPSec для Изоляции Домена или Сервера. Хосты не будут в домене, таким образом, IPSec будет препятствовать тому, чтобы они связались с другими Доменными машинами, но VMs будет в домене, таким образом, они смогут общаться друг с другом.
Это похоже на действительно хорошую начальную точку. http://blogs.msdn.com/b/james_morey/archive/2005/04/21/410590.aspx
Я обнаружил источник проблемы. Корневые программы SUID на самом деле могут связываться с привилегированными портами, но VirtualBox специально отбрасывает привилегии SUID вскоре после запуска, что делает невозможным предоставление ему необходимых разрешений без серьезных изменений. SUID фактически совместим с setcap, как указано на странице руководства features . Перекомпиляция VirtualBox из исходного кода - единственный вариант.
РЕДАКТИРОВАТЬ: Установка export VBOX_HARD_CAP_NET_BIND_SERVICE = 1
перед сборкой VirtualBox включает эту функциональность.
РЕДАКТИРОВАТЬ: Я наконец-то получил полную работоспособность, скомпилировав защищенную сборку VirtualBox из SVN:
# Prerequisites:
# - Satisfy all dependencies listed in the VirtualBox build instructions
# - You may need to install additional packages:
# texlive-latex-extra
# yasm
export VBOX_HARD_CAP_NET_BIND_SERVICE=1
cd ~
# Download VirtualBox source code from SVN
svn co http://www.virtualbox.org/svn/vbox/trunk vbox
cd vbox
# Configure build. I encountered Java errors so I disabled Java support
./configure --disable-java
source ./env.sh
kmk all
# Build kernel module. The below path may vary!
cd ~/vbox/out/linux.amd64/release/bin/src
make
sudo make install
# Build hardened executable
cd ~/vbox/src/VBox
kmk packing
# Install VirtualBox
cd ~/vbox/out/linux.amd64/release/bin
sudo ./VirtualBox-4.2.51_OSE-r44262.run install
Некоторые из вышеперечисленных шагов могут потребовать создания символических ссылок. Для получения подробной информации следуйте инструкциям по сборке Linux .