Η εταιρεία Siemens δωρεάν απελευθέρωση hypervisor . Ο hypervisor υποστηρίζει συστήματα x86_64 με επεκτάσεις VMX+EPT ή SVM+NPT (AMD-V), καθώς και επεξεργαστές ARMv7 και ARMv8/ARM64 με επεκτάσεις εικονικοποίησης. Χωριστά γεννήτρια εικόνας για τον hypervisor Jailhouse, που δημιουργήθηκε με βάση πακέτα Debian για υποστηριζόμενες συσκευές. Κωδικός έργου άδεια σύμφωνα με το GPLv2.
Ο hypervisor υλοποιείται ως λειτουργική μονάδα για τον πυρήνα του Linux και παρέχει εικονικοποίηση σε επίπεδο πυρήνα. Στοιχεία για συστήματα φιλοξενούμενων περιλαμβάνονται ήδη στον κύριο πυρήνα του Linux. Για τη διαχείριση της απομόνωσης, χρησιμοποιούνται οι μηχανισμοί εικονικοποίησης υλικού που παρέχονται από τις σύγχρονες CPU. Τα ιδιαίτερα χαρακτηριστικά του Jailhouse είναι η ελαφριά εφαρμογή του και η εστίαση στη σύνδεση εικονικών μηχανών σε σταθερή CPU, περιοχή RAM και συσκευές υλικού. Αυτή η προσέγγιση επιτρέπει σε έναν φυσικό διακομιστή πολλαπλών επεξεργαστών να υποστηρίζει τη λειτουργία πολλών ανεξάρτητων εικονικών περιβαλλόντων, καθένα από τα οποία έχει εκχωρηθεί στον δικό του πυρήνα επεξεργαστή.
Με μια στενή σύνδεση με την CPU, η επιβάρυνση του hypervisor ελαχιστοποιείται και η υλοποίησή του απλοποιείται σημαντικά, καθώς δεν χρειάζεται να εκτελεστεί ένας πολύπλοκος χρονοπρογραμματιστής κατανομής πόρων - η κατανομή ενός ξεχωριστού πυρήνα CPU διασφαλίζει ότι δεν εκτελούνται άλλες εργασίες σε αυτήν τη CPU . Το πλεονέκτημα αυτής της προσέγγισης είναι η δυνατότητα παροχής εγγυημένης πρόσβασης σε πόρους και προβλέψιμης απόδοσης, γεγονός που καθιστά το Jailhouse μια κατάλληλη λύση για τη δημιουργία εργασιών που εκτελούνται σε πραγματικό χρόνο. Το μειονέκτημα είναι η περιορισμένη επεκτασιμότητα, που περιορίζεται από τον αριθμό των πυρήνων της CPU.
Στην ορολογία του Jailhouse, τα εικονικά περιβάλλοντα ονομάζονται «κάμερες» (κελί, στο πλαίσιο του jailhouse). Μέσα στην κάμερα, το σύστημα μοιάζει με διακομιστή ενός επεξεργαστή που δείχνει απόδοση στην απόδοση ενός αποκλειστικού πυρήνα CPU. Η κάμερα μπορεί να εκτελέσει το περιβάλλον ενός αυθαίρετου λειτουργικού συστήματος, καθώς και απογυμνωμένα περιβάλλοντα για την εκτέλεση μιας εφαρμογής ή ειδικά προετοιμασμένες μεμονωμένες εφαρμογές που έχουν σχεδιαστεί για την επίλυση προβλημάτων σε πραγματικό χρόνο. Η διαμόρφωση έχει οριστεί , που καθορίζουν την CPU, τις περιοχές μνήμης και τις θύρες I/O που έχουν εκχωρηθεί στο περιβάλλον.
Στη νέα κυκλοφορία
- Προστέθηκε υποστήριξη για πλατφόρμες Raspberry Pi 4 Model B και Texas Instruments J721E-EVM.
- συσκευή ivshmem που χρησιμοποιείται για την οργάνωση της αλληλεπίδρασης μεταξύ των κυττάρων. Πάνω από το νέο ivshmem, μπορείτε να εφαρμόσετε μια μεταφορά για το VIRTIO.
- Εφάρμοσε τη δυνατότητα απενεργοποίησης της δημιουργίας σελίδων μεγάλης μνήμης (hugepage) για τον αποκλεισμό της ευπάθειας σε επεξεργαστές Intel, που επιτρέπει σε έναν μη προνομιούχο εισβολέα να ξεκινήσει μια άρνηση υπηρεσίας με αποτέλεσμα ένα σύστημα να κολλάει στην κατάσταση "Σφάλμα ελέγχου μηχανήματος".
- Για συστήματα με επεξεργαστές ARM64, υλοποιείται υποστήριξη για SMMUv3 (Μονάδα Διαχείρισης Μνήμης Συστήματος) και TI PVU (Περιφερειακή Μονάδα Εικονοποίησης). Έχει προστεθεί υποστήριξη PCI για απομονωμένα περιβάλλοντα που τρέχουν πάνω από υλικό (γυμνό μέταλλο).
- Σε συστήματα x86 για κάμερες root, είναι δυνατή η ενεργοποίηση της λειτουργίας CR4.UMIP (User-Mode Instruction Prevention) που παρέχεται από επεξεργαστές Intel, η οποία σας επιτρέπει να απαγορεύσετε την εκτέλεση στο χώρο χρήστη ορισμένων εντολών, όπως SGDT, SLDT, SIDT , SMSW και STR, που μπορούν να χρησιμοποιηθούν σε επιθέσεις , με στόχο την αύξηση των προνομίων στο σύστημα.
Πηγή: opennet.ru