Сименс го објави хипервизорот Jailhouse 0.12

Компанијата Сименс објавено бесплатно ослободување на хипервизорот Затвор 0.12. Хипервизорот поддржува системи x86_64 со екстензии VMX+EPT или SVM+NPT (AMD-V), како и ARMv7 и ARMv8/ARM64 процесори со екстензии за виртуелизација. Одделно се развива генератор на слики за хипервизорот Jailhouse, генериран врз основа на Debian пакети за поддржани уреди. Код на проектот дистрибуирани од лиценцирана според GPLv2.

Хипервизорот е имплементиран како модул за кернелот Линукс и обезбедува виртуелизација на ниво на јадрото. Компонентите за гостинските системи се веќе вклучени во главниот кернел на Линукс. За управување со изолацијата, се користат механизмите за виртуелизација на хардверот обезбедени од современите процесори. Карактеристичните карактеристики на Jailhouse се неговата лесна имплементација и фокусирање на поврзување на виртуелни машини со фиксен процесор, RAM-област и хардверски уреди. Овој пристап овозможува еден физички мултипроцесорски сервер да поддржува работа на неколку независни виртуелни средини, од кои секоја е доделена на сопственото процесорско јадро.

Со тесна врска со процесорот, надземните трошоци на хипервизорот се минимизираат и неговата имплементација е значително поедноставена, бидејќи нема потреба да се извршува сложен распоредувач за распределба на ресурси - доделувањето посебно јадро на процесорот гарантира дека нема други задачи да се извршуваат на овој процесор. . Предноста на овој пристап е способноста да се обезбеди гарантиран пристап до ресурси и предвидливи перформанси, што го прави Jailhouse соодветно решение за креирање задачи извршени во реално време. Недостаток е ограничената приспособливост, ограничена со бројот на јадра на процесорот.

Во терминологијата на Jailhouse, виртуелните средини се нарекуваат „камери“ (ќелија, во контекст на затворот). Внатре во камерата, системот изгледа како сервер со еден процесор кој покажува перформанси затвори до перформансите на посветеното јадро на процесорот. Камерата може да работи со околината на произволен оперативен систем, како и со одземени околини за извршување на една апликација или специјално подготвени индивидуални апликации дизајнирани да решаваат проблеми во реално време. Конфигурацијата е поставена .клеточни датотеки, кои ги одредуваат процесорот, мемориските региони и влезните/излезни порти доделени на околината.

Во новото издание

• Додадена е поддршка за Raspberry Pi 4 Model B и Texas Instruments J721E-EVM платформи;
• Преработено ivshmem уред кој се користи за организирање на интеракција помеѓу клетките. На врвот на новиот ivshmem, можете да спроведете транспорт за VIRTIO;
  

• Спроведена е способноста да се оневозможи создавање на големи мемориски страници (голема страница) за да се блокира ранливоста CVE-2018-12207 во процесорите на Интел, што му дозволува на непривилегиран напаѓач да иницира одбивање на услугата што ќе резултира со закачување на системот во состојба „Грешка во проверката на машината“;
• За системи со ARM64 процесори, имплементирана е поддршка за SMMUv3 (Системска единица за управување со меморија) и TI PVU (Единица за периферна виртуелизација). Додадена е поддршка за PCI за изолирани средини што работат на врвот на хардверот (гол-метал);
• На системах x86 для корневых камер реализована возможность включения предоставляемого процессорами Intel режима CR4.UMIP (User-Mode Instruction Prevention), позволяющего запретить выполнение в пространстве пользователя некоторых инструкций, таких как SGDT, SLDT, SIDT, SMSW и STR, которые могут применяться в атаках, нацеленных на повышение привилегий в системе.

Извор: opennet.ru