công ty Siemens phát hành hypervisor miễn phí . Trình ảo hóa hỗ trợ các hệ thống x86_64 với phần mở rộng VMX+EPT hoặc SVM+NPT (AMD-V), cũng như bộ xử lý ARMv7 và ARMv8/ARM64 với phần mở rộng ảo hóa. Riêng biệt trình tạo hình ảnh cho trình ảo hóa Jailhouse, được tạo dựa trên các gói Debian dành cho các thiết bị được hỗ trợ. Mã số dự án được cấp phép theo GPLv2.
Trình ảo hóa được triển khai dưới dạng mô-đun cho nhân Linux và cung cấp khả năng ảo hóa ở cấp nhân. Các thành phần dành cho hệ thống khách đã được bao gồm trong nhân Linux chính. Để quản lý sự cô lập, các cơ chế ảo hóa phần cứng do CPU hiện đại cung cấp sẽ được sử dụng. Các tính năng đặc biệt của Jailhouse là cách triển khai gọn nhẹ và tập trung vào việc liên kết các máy ảo với một CPU, vùng RAM và thiết bị phần cứng cố định. Cách tiếp cận này cho phép một máy chủ đa bộ xử lý vật lý hỗ trợ hoạt động của một số môi trường ảo độc lập, mỗi môi trường được gán cho lõi bộ xử lý riêng của nó.
Với liên kết chặt chẽ với CPU, chi phí hoạt động của bộ ảo hóa được giảm thiểu và việc triển khai nó được đơn giản hóa đáng kể do không cần phải chạy bộ lập lịch phân bổ tài nguyên phức tạp - việc phân bổ một lõi CPU riêng đảm bảo rằng không có tác vụ nào khác được thực thi trên CPU này . Ưu điểm của phương pháp này là khả năng cung cấp quyền truy cập được đảm bảo vào các tài nguyên và hiệu suất có thể dự đoán được, điều này khiến Jailhouse trở thành một giải pháp phù hợp để tạo các nhiệm vụ được thực hiện trong thời gian thực. Nhược điểm là khả năng mở rộng hạn chế, bị giới hạn bởi số lượng lõi CPU.
Trong thuật ngữ của Nhà tù, môi trường ảo được gọi là “máy ảnh” (ô, trong bối cảnh nhà tù). Bên trong camera, hệ thống trông giống như một máy chủ bộ xử lý đơn thể hiện hiệu suất đến hiệu năng của lõi CPU chuyên dụng. Máy ảnh có thể chạy trong môi trường của một hệ điều hành tùy ý, cũng như các môi trường đơn giản để chạy một ứng dụng hoặc các ứng dụng riêng lẻ được chuẩn bị đặc biệt được thiết kế để giải quyết các vấn đề thời gian thực. Cấu hình được thiết lập trong , xác định CPU, vùng bộ nhớ và cổng I/O được phân bổ cho môi trường.
Trong bản phát hành mới
- Đã thêm hỗ trợ cho nền tảng Raspberry Pi 4 Model B và Texas Instruments J721E-EVM;
- thiết bị ivshmem dùng để tổ chức tương tác giữa các tế bào. Ngoài ivshmem mới, bạn có thể triển khai phương thức vận chuyển cho VIRTIO;
- Đã triển khai khả năng vô hiệu hóa việc tạo các trang bộ nhớ lớn (hugepage) để chặn lỗ hổng trong bộ xử lý Intel, cho phép kẻ tấn công không có đặc quyền bắt đầu từ chối dịch vụ dẫn đến hệ thống bị treo ở trạng thái “Lỗi kiểm tra máy”;
- Đối với các hệ thống có bộ xử lý ARM64, hỗ trợ cho SMMUv3 (Đơn vị quản lý bộ nhớ hệ thống) và TI PVU (Đơn vị ảo hóa ngoại vi) được triển khai. Hỗ trợ PCI đã được thêm vào cho các môi trường biệt lập chạy trên phần cứng (kim loại trần);
- Trên hệ thống x86 dành cho camera gốc, có thể bật chế độ CR4.UMIP (Ngăn chặn lệnh ở chế độ người dùng) do bộ xử lý Intel cung cấp, chế độ này cho phép bạn cấm thực thi một số lệnh nhất định trong không gian người dùng, chẳng hạn như SGDT, SLDT, SIDT , SMSW và STR, có thể được sử dụng trong các cuộc tấn công, nhằm mục đích tăng đặc quyền trong hệ thống.
Nguồn: opennet.ru