The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Дополнительная защита гостевых виртуальных окружений при помощи sVirt

25.08.2009 14:13

Daniel Walsh, работник Red Hat, участвующий в разработке SELinux, рассказал о проекте sVirt, позволяющем использовать SELinux Mandatory Access Control (MAC) политики для усиления изоляции гостевых виртуальных окружений. Система поможет защитить систему в случае обнаружения уязвимости в коде гипервизора и не позволит злоумышленнику повлиять на работу гостевых ОC, даже после взлома управляющей "host" системы.

Дополнение: "Развитие проекта sVirt в Fedora 11/RHEL" - пересказ на русском языке некоторых моментов из заметки Daniel Walsh;

  1. Главная ссылка к новости (http://danwalsh.livejournal.co...)
  2. OpenNews: Новый механизм для безопасного выполнения подозрительных программ в Linux
Лицензия: CC-BY
Тип: английский / Обобщение
Ключевые слова: selinux, security, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, dsafdqe (?), 20:47, 25/08/2009 [ответить]  
  • +/
    вот это очень круто
     
  • 1.2, User294 (ok), 21:08, 25/08/2009 [ответить]  
  • –1 +/
    Пардон, а если гипервизор поимели (т.е. поимели видимо доступ в ring0 или даже ring -1) - а что тогда помешает при таком уровне доступа просто подпатчить SELinux'а в памяти у виртуалок чтоб не брыкался?Да и сами виртуалки можно крушить как угодно уже.Я чего-то не понял в этой жизни?
     
     
  • 2.4, vitek (??), 02:39, 26/08/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а что если бен ладен в серверной бомбу заложил? :-D

    логика работы - в виртуалках крутятся ПО для пользователей, с потенциальными рисками.
    а на гипервизоре крутиться только админ с очень прямыми руками.

     
     
  • 3.5, User294 (ok), 03:41, 26/08/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >а на гипервизоре крутиться только админ с очень прямыми руками.

    Да, но если поимели гипервизор через его баги - значит поимели доступ в ring0 хоста.Или даже в ring -1.При этом на selinux как бы это сказать, немного пофигу - есть прямой доступ к всем ресурсам хоста (а стало быть и виртуалок на нем) влобовую.Можно виртуалкам память вдоль и поперек пропатчить, например отшив selinux в них к такой-то фене или поменяв все что надо вообще не пользуясь средствами Linux :).И что по этому поводу сможет SELinux? Может кто-то внятно объяснить вместо того чтобы тупо ставить минусы? oO

     
     
  • 4.6, vitek (??), 05:04, 26/08/2009 [^] [^^] [^^^] [ответить]  
  • +/
    самый надёжный способ - вырубить ком и разойтись по домам :-D

    уже то, что можно более плотно защитить хост-систему от "гостей" (например на vps, хотя там как-то больше предпочитают что-то на тему опенвз, виртуозо :-D) - это уже большой плюс.
    зы:
    кстати, о плюсах и минусах - последние я не ставлю. каждый имеет право на своё мнение (установка миносов к ним точно не оносится :-D), да и польза от сворачиваний по моему сомнительна.
    вот плюсы иной раз ставлю. по многим причинам - интересные мысли, правильность комментария,.. остроумие :-D

     

  • 1.3, AlRashidu (ok), 23:55, 25/08/2009 [ответить]  
  • +/
    >Я чего-то не понял в этой жизни?

    ыыы причём здесь жизнь?

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру