Azienda Siemens versione gratuita dell'hypervisor . L'hypervisor supporta i sistemi x86_64 con estensioni VMX+EPT o SVM+NPT (AMD-V), nonché processori ARMv7 e ARMv8/ARM64 con estensioni di virtualizzazione. Separatamente generatore di immagini per l'hypervisor Jailhouse, generato in base ai pacchetti Debian per i dispositivi supportati. Codice del progetto concesso in licenza con GPLv2.
L'hypervisor è implementato come modulo per il kernel Linux e fornisce la virtualizzazione a livello del kernel. I componenti per i sistemi guest sono già inclusi nel kernel Linux principale. Per gestire l'isolamento vengono utilizzati i meccanismi di virtualizzazione dell'hardware forniti dalle moderne CPU. Le caratteristiche distintive di Jailhouse sono la sua implementazione leggera e l'attenzione al collegamento delle macchine virtuali a CPU, area RAM e dispositivi hardware fissi. Questo approccio consente a un server fisico multiprocessore di supportare il funzionamento di diversi ambienti virtuali indipendenti, ciascuno dei quali è assegnato al proprio core del processore.
Con uno stretto collegamento alla CPU, il sovraccarico dell'hypervisor è ridotto al minimo e la sua implementazione è notevolmente semplificata, poiché non è necessario eseguire un complesso pianificatore di allocazione delle risorse: l'allocazione di un core CPU separato garantisce che nessun'altra attività venga eseguita su questa CPU . Il vantaggio di questo approccio è la capacità di fornire accesso garantito alle risorse e prestazioni prevedibili, che rendono Jailhouse una soluzione adatta per la creazione di attività eseguite in tempo reale. Lo svantaggio è la scalabilità limitata, limitata dal numero di core della CPU.
Nella terminologia Jailhouse, gli ambienti virtuali sono chiamati “telecamere” (cella, nel contesto jailhouse). All'interno della fotocamera, il sistema si presenta come un server a processore singolo che mostra le prestazioni alle prestazioni di un core CPU dedicato. La fotocamera può eseguire l'ambiente di un sistema operativo arbitrario, nonché ambienti ridotti per l'esecuzione di un'applicazione o singole applicazioni appositamente preparate progettate per risolvere problemi in tempo reale. La configurazione è impostata , che determinano la CPU, le aree di memoria e le porte I/O allocate all'ambiente.
Nella nuova versione
- Aggiunto supporto per le piattaforme Raspberry Pi 4 Modello B e Texas Instruments J721E-EVM;
- dispositivo ivshmem utilizzato per organizzare l'interazione tra le cellule. Oltre al nuovo ivshmem, puoi implementare un trasporto per VIRTIO;
- Implementata la possibilità di disabilitare la creazione di pagine di memoria di grandi dimensioni (hugepage) per bloccare la vulnerabilità nei processori Intel, che consente a un utente malintenzionato non privilegiato di avviare una negazione del servizio con conseguente blocco del sistema nello stato "Errore controllo macchina";
- Per i sistemi con processori ARM64, viene implementato il supporto per SMMUv3 (System Memory Management Unit) e TI PVU (Peripheral Virtualization Unit). È stato aggiunto il supporto PCI per ambienti isolati eseguiti su hardware (bare metal);
- Sui sistemi x86 per fotocamere root è possibile abilitare la modalità CR4.UMIP (User-Mode Instruction Prevention) prevista dai processori Intel, che permette di vietare l'esecuzione di alcune istruzioni nello spazio utente, come SGDT, SLDT, SIDT , SMSW e STR, che possono essere utilizzati negli attacchi, volti ad aumentare i privilegi nel sistema.
Fonte: opennet.ru