Siemens компани
Гипервизор нь Линуксийн цөмд зориулсан модуль хэлбэрээр хэрэгжсэн бөгөөд цөмийн түвшинд виртуалчлалыг хангадаг. Зочин системийн бүрэлдэхүүн хэсэг нь үндсэн Линуксийн цөмд аль хэдийн орсон байна. Тусгаарлах ажлыг зохицуулахын тулд орчин үеийн CPU-ийн тоног төхөөрөмжийн виртуалчлалын механизмыг ашигладаг. Jailhouse-ийн өвөрмөц онцлог нь түүний хөнгөн хэрэглүүр бөгөөд виртуал машинуудыг тогтмол CPU, RAM талбай болон техник хангамжийн төхөөрөмжтэй холбоход чиглэгддэг. Энэ арга нь бие даасан олон процессорын сервер тус бүр нь өөрийн процессорын цөмд хуваарилагдсан хэд хэдэн бие даасан виртуал орчны ажиллагааг дэмжих боломжийг олгодог.
Төв процессортой нягт холбогдсоноор гипервизорын ачаалал багасч, хэрэгжилт нь мэдэгдэхүйц хялбаршсан, учир нь нарийн төвөгтэй нөөц хуваарилах хуваарьлагчийг ажиллуулах шаардлагагүй - тусдаа CPU цөмийг хуваарилах нь энэ CPU дээр өөр ажил гүйцэтгэхгүй байх баталгаа болдог. . Энэхүү аргын давуу тал нь нөөцөд баталгаатай хандах, урьдчилан таамаглах боломжтой гүйцэтгэлийг хангах чадвар бөгөөд энэ нь Jailhouse-ийг бодит цаг хугацаанд гүйцэтгэсэн ажлуудыг бий болгоход тохиромжтой шийдэл болгодог. Сул тал нь CPU-ийн цөмийн тоогоор хязгаарлагдмал өргөтгөх чадвар юм.
Шоронгийн нэр томъёонд виртуал орчныг "камер" (шоронгийн орчинд эс) гэж нэрлэдэг. Камерын дотор систем нь гүйцэтгэлийг харуулсан нэг процессортой сервер шиг харагдаж байна
Шинэ дугаарт
- Raspberry Pi 4 Model B болон Texas Instruments J721E-EVM платформуудад зориулсан дэмжлэг нэмэгдсэн;
-
Дахин боловсруулсан эс хоорондын харилцан үйлчлэлийг зохион байгуулахад ашигладаг ivshmem төхөөрөмж. Шинэ ivshmem дээр та VIRTIO-д зориулсан тээвэрлэлтийг хэрэгжүүлж болно; - Эмзэг байдлыг хаахын тулд том санах ойн хуудас (том хуудас) үүсгэхийг идэвхгүй болгох чадварыг хэрэгжүүлсэн.
CVE-2018-12207 Intel процессорууд нь давуу эрхгүй халдагчдад үйлчилгээ үзүүлэхээс татгалзаж, системийг "Машин шалгах алдаа" төлөвт саатуулах боломжийг олгодог; - ARM64 процессортой системүүдийн хувьд SMMUv3 (Системийн санах ойн удирдлагын нэгж) болон TI PVU (Захын виртуалчлалын нэгж)-ийн дэмжлэгийг хэрэгжүүлдэг. Техник хангамж (нүцгэн металл) дээр ажилладаг тусгаарлагдсан орчинд PCI дэмжлэг нэмэгдсэн;
- На системах x86 для коревых камер реализована возможность включения предоставляемого процессорами Intel режима CR4.UMIP (User-Mode Instruction Prevention), позволяющего запретить выполнение в пространстве пользователя некоторых инструкций, таких как SGDT, SLDT, SIDT, SMSW и STR, которые могут применяться в атаках, нацеленных на повышение привилегий в системе.
Эх сурвалж: opennet.ru