โปรโฮสต์ > ซีเมนส์ได้เปิดตัวไฮเปอร์ไวเซอร์ Jailhouse 0.12

ซีเมนส์ได้เปิดตัวไฮเปอร์ไวเซอร์ Jailhouse 0.12

บริษัทซีเมนส์ การตีพิมพ์ ปล่อยไฮเปอร์ไวเซอร์ฟรี เรือนจำ 0.12. ไฮเปอร์ไวเซอร์รองรับระบบ x86_64 ที่มีส่วนขยาย VMX+EPT หรือ SVM+NPT (AMD-V) รวมถึงโปรเซสเซอร์ ARMv7 และ ARMv8/ARM64 ที่มีส่วนขยายการจำลองเสมือน แยกกัน กำลังพัฒนา ตัวสร้างอิมเมจสำหรับไฮเปอร์ไวเซอร์ของ Jailhouse สร้างขึ้นตามแพ็คเกจ Debian สำหรับอุปกรณ์ที่รองรับ รหัสโครงการ จัดจำหน่ายโดย ได้รับอนุญาตภายใต้ GPLv2

ไฮเปอร์ไวเซอร์ถูกนำมาใช้เป็นโมดูลสำหรับเคอร์เนล Linux และจัดให้มีการจำลองเสมือนในระดับเคอร์เนล ส่วนประกอบสำหรับระบบเกสต์รวมอยู่ในเคอร์เนลหลักของ Linux แล้ว ในการจัดการการแยกส่วน มีการใช้กลไกการจำลองเสมือนสำหรับฮาร์ดแวร์ที่ CPU สมัยใหม่มอบให้ คุณสมบัติที่โดดเด่นของ Jailhouse คือการใช้งานที่มีน้ำหนักเบาและมุ่งเน้นไปที่การเชื่อมโยงเครื่องเสมือนเข้ากับ CPU, พื้นที่ RAM และอุปกรณ์ฮาร์ดแวร์แบบคงที่ วิธีการนี้ช่วยให้เซิร์ฟเวอร์ที่มีตัวประมวลผลหลายตัวทางกายภาพตัวเดียวสามารถรองรับการทำงานของสภาพแวดล้อมเสมือนที่เป็นอิสระหลายตัว ซึ่งแต่ละสภาพแวดล้อมถูกกำหนดให้กับแกนตัวประมวลผลของตัวเอง

ด้วยการเชื่อมโยงที่แน่นแฟ้นกับ CPU โอเวอร์เฮดของไฮเปอร์ไวเซอร์จะลดลง และการใช้งานก็ง่ายขึ้นอย่างมาก เนื่องจากไม่จำเป็นต้องเรียกใช้ตัวกำหนดตารางเวลาการจัดสรรทรัพยากรที่ซับซ้อน - การจัดสรรแกน CPU แยกต่างหากทำให้แน่ใจได้ว่าไม่มีงานอื่นใดถูกดำเนินการบน CPU นี้ . ข้อดีของแนวทางนี้คือความสามารถในการรับประกันการเข้าถึงทรัพยากรและประสิทธิภาพที่คาดการณ์ได้ ซึ่งทำให้ Jailhouse เป็นโซลูชันที่เหมาะสมสำหรับการสร้างงานที่ดำเนินการแบบเรียลไทม์ ข้อเสียคือความสามารถในการปรับขนาดที่จำกัด ซึ่งจำกัดด้วยจำนวนคอร์ CPU

ในศัพท์เฉพาะของเรือนจำ สภาพแวดล้อมเสมือนเรียกว่า "กล้อง" (ห้องขัง ในบริบทของเรือนจำ) ภายในกล้อง ระบบดูเหมือนเซิร์ฟเวอร์โปรเซสเซอร์ตัวเดียวที่แสดงประสิทธิภาพ ปิด ไปจนถึงประสิทธิภาพของคอร์ CPU เฉพาะ กล้องสามารถใช้งานสภาพแวดล้อมของระบบปฏิบัติการที่กำหนดเองได้ เช่นเดียวกับสภาพแวดล้อมแบบแยกส่วนสำหรับการเรียกใช้แอปพลิเคชันเดียวหรือแอปพลิเคชันเฉพาะที่เตรียมไว้เป็นพิเศษ ซึ่งออกแบบมาเพื่อแก้ไขปัญหาแบบเรียลไทม์ การกำหนดค่าถูกตั้งค่าไว้ ไฟล์ .cellซึ่งกำหนด CPU, ขอบเขตหน่วยความจำ และพอร์ต I/O ที่จัดสรรให้กับสภาพแวดล้อม

ซีเมนส์ได้เปิดตัวไฮเปอร์ไวเซอร์ Jailhouse 0.12

ในการเปิดตัวใหม่

  • เพิ่มการรองรับสำหรับแพลตฟอร์ม Raspberry Pi 4 Model B และ Texas Instruments J721E-EVM
  • ปรับปรุงใหม่ อุปกรณ์ ivshmem ใช้เพื่อจัดระเบียบปฏิสัมพันธ์ระหว่างเซลล์ นอกเหนือจาก ivshmem ใหม่ คุณสามารถใช้การขนส่งสำหรับ VIRTIO ได้

    ซีเมนส์ได้เปิดตัวไฮเปอร์ไวเซอร์ Jailhouse 0.12

  • ใช้ความสามารถในการปิดการใช้งานการสร้างหน้าหน่วยความจำขนาดใหญ่ (หน้าใหญ่) เพื่อป้องกันช่องโหว่ CVE-2018-12207 ในโปรเซสเซอร์ Intel ซึ่งอนุญาตให้ผู้โจมตีที่ไม่มีสิทธิพิเศษสามารถเริ่มการปฏิเสธการบริการส่งผลให้ระบบค้างในสถานะ “ข้อผิดพลาดในการตรวจสอบเครื่อง”
  • สำหรับระบบที่มีโปรเซสเซอร์ ARM64 จะมีการรองรับ SMMUv3 (System Memory Management Unit) และ TI PVU (Peripheral Virtualization Unit) เพิ่มการรองรับ PCI สำหรับสภาพแวดล้อมแบบแยกที่ทำงานบนฮาร์ดแวร์ (โลหะเปลือย);
  • บนระบบ x86 สำหรับกล้องรูท เป็นไปได้ที่จะเปิดใช้งานโหมด CR4.UMIP (การป้องกันคำสั่งโหมดผู้ใช้) ที่ได้รับจากโปรเซสเซอร์ Intel ซึ่งอนุญาตให้คุณห้ามการดำเนินการในพื้นที่ผู้ใช้ของคำสั่งบางอย่าง เช่น SGDT, SLDT, SIDT , SMSW และ STR ซึ่งสามารถใช้ในการโจมตี โดยมีวัตถุประสงค์เพื่อเพิ่มสิทธิพิเศษในระบบ

ที่มา: opennet.ru

เพิ่มความคิดเห็น