סימנס פרסמה את ההיפרוויזר Jailhouse 0.12

חברת סימנס опубликовала שחרור hypervisor בחינם בית הכלא 0.12. ההיפרוויזר תומך במערכות x86_64 עם הרחבות VMX+EPT או SVM+NPT (AMD-V), כמו גם מעבדי ARMv7 ו-ARMv8/ARM64 עם הרחבות וירטואליזציה. לְחוּד מתפתח מחולל תמונות של היפר-ויזור של Jailhouse המבוסס על חבילות Debian עבור מכשירים נתמכים. קוד פרויקט מופץ על ידי מורשה תחת GPLv2.

ההיפר-ויזור מיושם כמודול עבור הליבה Linux ומספק וירטואליזציה ברמת הליבה. רכיבים עבור מערכות אורח כבר כלולים בליבת המערכת הראשית. LinuxJailhouse משתמש במנגנוני וירטואליזציה של חומרה המסופקים על ידי מעבדים מודרניים כדי לנהל בידוד. המאפיינים הייחודיים של Jailhouse כוללים את היישום הקליל שלו והתמקדות בקישור מכונות וירטואליות למעבד, זיכרון RAM והתקני חומרה קבועים. גישה זו מאפשרת להפעיל מספר סביבות וירטואליות עצמאיות, שלכל אחת מהן מוקצית לליבת מעבד משלה, על שרת פיזי מרובה מעבדים יחיד.

עם קישור הדוק למעבד, התקורה של ה-Hypervisor ממוזערת והטמעתו מפושטת משמעותית, מכיוון שאין צורך להפעיל מתזמן הקצאת משאבים מורכב - הקצאת ליבת CPU נפרדת מבטיחה שלא יבוצעו משימות אחרות במעבד זה. . היתרון של גישה זו הוא היכולת לספק גישה מובטחת למשאבים וביצועים צפויים, מה שהופך את Jailhouse לפתרון מתאים ליצירת משימות המבוצעות בזמן אמת. החיסרון הוא יכולת הרחבה מוגבלת, מוגבלת במספר ליבות המעבד.

בטרמינולוגיה של בית הכלא, סביבות וירטואליות נקראות "מצלמות" (תא, בהקשר של בית הכלא). בתוך המצלמה, המערכת נראית כמו שרת בעל מעבד יחיד המראה ביצועים סגור לביצועים של ליבת מעבד ייעודית. המצלמה יכולה להריץ סביבה של מערכת הפעלה שרירותית, כמו גם סביבות מופשטות להפעלת אפליקציה אחת או יישומים בודדים שהוכנו במיוחד שנועדו לפתור בעיות בזמן אמת. התצורה מוגדרת ב קבצי .cell, אשר קובעים את המעבד, אזורי הזיכרון ויציאות ה-I/O המוקצות לסביבה.

במהדורה החדשה

• נוספה תמיכה עבור פלטפורמות Raspberry Pi 4 Model B ו-Texas Instruments J721E-EVM;
• עובד מחדש מכשיר ivshmem המשמש לארגון אינטראקציה בין תאים. בנוסף ל-ivshem החדש, אתה יכול ליישם טרנספורט עבור VIRTIO;
  
• הטמיע את היכולת להשבית את היצירה של דפי זיכרון גדולים (ענק עמוד) כדי לחסום את הפגיעות CVE-2018-12207 במעבדי אינטל, מה שמאפשר לתוקף חסר זכויות ליזום מניעת שירות וכתוצאה מכך לתלייה של המערכת במצב "שגיאת בדיקת מכונה";
• עבור מערכות עם מעבדי ARM64, מיושמת תמיכה ב-SMMUv3 (יחידת ניהול זיכרון מערכת) ו-TI PVU (יחידת וירטואליזציה היקפית). נוספה תמיכת PCI עבור סביבות מבודדות הפועלות על גבי חומרה (מתכת חשופה);
• במערכות x86 למצלמות בסיס, ניתן להפעיל את מצב CR4.UMIP (מניעת הוראות משתמש) המסופק על ידי מעבדי אינטל, המאפשר לך לאסור ביצוע בחלל המשתמש של הוראות מסוימות, כגון SGDT, SLDT, SIDT , SMSW ו-STR, שניתן להשתמש בהם בהתקפות, במטרה להגדיל את ההרשאות במערכת.

מקור: OpenNet.ru