https://opennet.me/openforum/vsluhforumID3/99188.html В гипервизоре Xen обнаружена (http://lists.xenproject.org/archives/html/xen-announce/2014-10/msg00000.html) опасная уязвимость (CVE-2014-7188), позволяющая инициировать крах хост-окружения или прочитать данные на уровне гипервизора или других гостевых систем. Эксплуатация возможна при выполнении специально оформленных гостевых систем, работающих в режиме полной виртуализации (HVM). Например, данный режим поддерживается во многих облачных службах, включая Amazon Elastic Compute Cloud, RackSpace и некоторых решениях на базе OpenStack. Уязвимость может быть использована для компрометации серверной инфраструктуры данных служб.<br><br><br>Проблеме не подвержены конфигурации, в которых гостевые системы выполняются только в режиме паравиртулизации (PV). Исправление пока доступно в виде патча (http://xenbits.xen.org/xsa/xsa108.patch). Проблема проявляется в Xen 4.1 и более новых выпусках на системах с процессорами x86.<br><br><br><br>URL: http://lists.xenproject.org/archives/html/xen-announce/2014-10/msg00000.html<br>Новость: http:// https://opennet.me/openforum/vsluhforumID3/99188.html#39 Tue, 07 Oct 2014 15:32:14 GMT ...<br>&gt; Только применим твой хваленый грсек только на рутерах ( для кернелспейс машин), <br>&gt; т.е примерно как бсд <br><br>Ну да?!<br>А мы-то и не знали!.. почему-то у нас self-compiled ядра c GRsecurity на всех (1000+) production серверах по всем континентам стоят... :)<br> https://opennet.me/openforum/vsluhforumID3/99188.html#38 Tue, 07 Oct 2014 11:50:08 GMT &gt;[оверквотинг удален]<br>&gt; проверки длины -&gt; переполнение буфера -&gt; взлом... пример: https://www.linux.org.ru/news/security/9162177?cid=9170049 <br>&gt; Так вот в Линукс ядре возможности: <br>&gt; CONFIG_PAX_KERNEXEC=y <br>&gt; PAX_MEMORY_UDEREF=y <br>&gt; PAX_USERCOPY=y <br>&gt; CONFIG_GRKERNSEC_KERN_LOCKOUT=y <br>&gt; были реализованы в значительной мере благодаря Тео.<br>&gt; Также все ssl, ssh и почти все правильные вещи по безопасности в <br>&gt; Линукс тоже работа Тео!<br>&gt; Вот так вот, не лицемерь больше ;) <br><br>Только применим твой хваленый грсек только на рутерах ( для кернелспейс машин), т.е примерно как бсд<br> https://opennet.me/openforum/vsluhforumID3/99188.html#37 Tue, 07 Oct 2014 11:46:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; оказаться меньше дыр by design и это - kvm <br>&gt; Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но <br>&gt; всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы, <br>&gt; как раз by design этих ОС.<br>&gt; В OpenBSD тоже дизайн для виртуализации не подходит. Тэо это понимает и <br>&gt; от виртуализации отказался.<br>&gt; На сегодня пока единственная в мире ОС где с виртуализацией "by design" <br>&gt; проблем быть не должно - DragonFlyBSD. Она именно с целью реализации <br>&gt; простой и правильной виртуализации пишется... Хотя сие их утверждение требует отдельной <br>&gt; проверки со стороны.<br><br>Спецы нахрен такие спецыалные спецы-Ыксперты аналитики опеннета - трындим и трындим.<br>По делу едиственная рабочая ( БСЭМ-6 померла, к сожаления) <br>безопасная виртуализация - IBM System z9 ( и где то в какой то мере AS400).<br>То, что аналЫтеГЫ опеннета про них не видели - вполне закономерно :-(<br> https://opennet.me/openforum/vsluhforumID3/99188.html#36 Tue, 07 Oct 2014 05:07:20 GMT &gt; про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемерием<br><br>Баги делают все люди, это наша сущность, кто меньше кто больше... Но хотел сделать акцент на другом, XEN сложен, ибо Линукс изначально для виртуализации не был спроэктирован, следовательно из-за сложности ошибок будет больше! Кроме того он не спроэктирован с учётом безопасности, в угоду быстроте и упрощению.<br><br>&gt; И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум...<br><br>Для изоляции сервисов в Юникс применяют технологию chroot. Сегодня есть укреплённые её варианты https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Chroot_jail_restrictions помещающие процес в изоляционную тюрму. И для безопасной изоляции процесов рекомендуется использовать их.<br><br>&gt;&gt; Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ.<br>&gt; В том числе и как средство безопасности.<br><br>Нет! Только ка https://opennet.me/openforum/vsluhforumID3/99188.html#35 Mon, 06 Oct 2014 15:08:09 GMT &gt; Да понятно что на проволоку и скотч привинтили, но от ОС надо <br>&gt; чтобы это работало, а не чтобы это был отполированный музейный экспонат. <br><br>так весь линукс это проволока и скотч, и что самое приятное - работает ведь. <br><br><br>&gt; Сам по себе design ОСей достаточно нейтрален к виртуализации. Единственная проблема - <br>&gt; гипервизор это часть ядра. Достаточно большого. Там потенциально могут быть баги. <br><br>не сомненно, только они в любом случае будут иметь место, не в микроядре Xen так в Dom0.<br><br>&gt; Поэтому рутковска и взяла Xen. Там гипервизор сам по себе и <br>&gt; мелкий. Что иронично, в xen с тех пор было здорово больше <br>&gt; багов чем в KVM. Чем-то таким теория и отличается от практики. <br><br>KVM гораздо более минималистичен чем Xen, там кода не больше чем в любом другом модуле ядра (изначальную версию Ави написал за 6 недель емнип), это в принципе драйвер для VT и SVM, и все. Нет дополнительных шедулеров, и прочих костылей, все остальное уже и так умеет само ядро, которое по определению проходит больше проверок на безо https://opennet.me/openforum/vsluhforumID3/99188.html#34 Mon, 06 Oct 2014 14:36:22 GMT &gt; Да виртуалки сильно помогают и упрощают админам жизнь. Но они были сделаны <br>&gt; и есть средством виртуализации, а не безопасной изоляции.<br><br>По изначальной задумке - это именно средство безопасной изоляции, то-есть, подразумевается развязка от хоста и невозможность ему нагадить. То что иногда возможны баги позволяющие это обойти - ок, но они возможны и в иных реализациях решений по изоляции (про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемерием).<br><br>И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум - унесли всю почту - покорежили DNS и прочее vs когда оно на все той же машине по отдельным VM и хаксор застрял на машине с форумом и попортил только форум - вот извините, безопасность определенно улучшилась. То что в сильно некоторых случаях хакер может попробовать вылезти за пределы VM - ок, но Xen и KVM нынче используются на коммерческой основе для хостинга и массо https://opennet.me/openforum/vsluhforumID3/99188.html#33 Mon, 06 Oct 2014 14:24:44 GMT &gt; Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но <br>&gt; всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы,<br><br>Да понятно что на проволоку и скотч привинтили, но от ОС надо чтобы это работало, а не чтобы это был отполированный музейный экспонат.<br> <br>&gt; как раз by design этих ОС.<br><br>Сам по себе design ОСей достаточно нейтрален к виртуализации. Единственная проблема - гипервизор это часть ядра. Достаточно большого. Там потенциально могут быть баги. Поэтому рутковска и взяла Xen. Там гипервизор сам по себе и мелкий. Что иронично, в xen с тех пор было здорово больше багов чем в KVM. Чем-то таким теория и отличается от практики. А, ну у фрибзд еще 1 проблема - у них виртуализации можно считать что нет. Потому что всякое недопиленное/экспериментальное недоразумение при наличии полудюжины решений в виде пригодном для продакшна - ну вы поняли. Рынок уже поделили и там фрибзды уже не ждут. А так все хорошо.<br><br>&gt; В OpenBSD тоже дизайн для виртуализации не подходит. Тэо это п https://opennet.me/openforum/vsluhforumID3/99188.html#32 Mon, 06 Oct 2014 13:40:53 GMT &gt;&gt; дыры будут всегда, но именно поэтому надо выбирать архитектуру в которой может <br>&gt;&gt; оказаться меньше дыр by design и это - kvm <br>&gt; Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но <br>&gt; всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы, <br>&gt; как раз by design этих ОС.<br><br>ну так в линуксе есть куча средств для улучшения безопасности. для виртуализации есть специальный selinux - svirt. вообще, таких новостей как эта, о KVM пока не было, и на это есть хорошие причины.<br> https://opennet.me/openforum/vsluhforumID3/99188.html#31 Mon, 06 Oct 2014 11:40:10 GMT &gt; получить изоляцию близкую к железной<br><br>Для безопасной изоляции в Линукс пока разработано это: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Chroot_jail_restrictions<br>