URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 58203
[ Назад ]

Исходное сообщение
"Дополнительная защита гостевых виртуальных окружений при пом..."
Отправлено opennews , 25-Авг-09 20:47

Daniel Walsh, работник Red Hat, участвующий в разработке SELinux, рассказал (http://danwalsh.livejournal.com/30565.html) о проекте sVirt (http://selinuxproject.org/page/SVirt), позволяющем использовать SELinux Mandatory Access Control (MAC) политики для усиления изоляции гостевых виртуальных окружений. Система поможет защитить систему в случае обнаружения уязвимости в коде гипервизора и не позволит злоумышленнику повлиять на работу гостевых ОC, даже после взлома управляющей "host" системы.
URL: http://danwalsh.livejournal.com/30565.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=23152

Содержание

Дополнительная защита гостевых виртуальных окружений при пом...,dsafdqe, 20:47 , 25-Авг-09
Дополнительная защита гостевых виртуальных окружений при пом...,User294, 21:08 , 25-Авг-09
- Дополнительная защита гостевых виртуальных окружений при пом...,vitek, 02:39 , 26-Авг-09
  - Дополнительная защита гостевых виртуальных окружений при пом...,User294, 03:41 , 26-Авг-09
    - Дополнительная защита гостевых виртуальных окружений при пом...,vitek, 05:04 , 26-Авг-09
Дополнительная защита гостевых виртуальных окружений при пом,AlRashidu, 23:55 , 25-Авг-09

Сообщения в этом обсуждении

"Дополнительная защита гостевых виртуальных окружений при пом..."
Отправлено dsafdqe , 25-Авг-09 20:47

вот это очень круто

"Дополнительная защита гостевых виртуальных окружений при пом..."
Отправлено User294 , 25-Авг-09 21:08

Пардон, а если гипервизор поимели (т.е. поимели видимо доступ в ring0 или даже ring -1) - а что тогда помешает при таком уровне доступа просто подпатчить SELinux'а в памяти у виртуалок чтоб не брыкался?Да и сами виртуалки можно крушить как угодно уже.Я чего-то не понял в этой жизни?

"Дополнительная защита гостевых виртуальных окружений при пом..."
Отправлено vitek , 26-Авг-09 02:39

а что если бен ладен в серверной бомбу заложил? :-D
логика работы - в виртуалках крутятся ПО для пользователей, с потенциальными рисками.
а на гипервизоре крутиться только админ с очень прямыми руками.

"Дополнительная защита гостевых виртуальных окружений при пом..."
Отправлено User294 , 26-Авг-09 03:41

>а на гипервизоре крутиться только админ с очень прямыми руками.
Да, но если поимели гипервизор через его баги - значит поимели доступ в ring0 хоста.Или даже в ring -1.При этом на selinux как бы это сказать, немного пофигу - есть прямой доступ к всем ресурсам хоста (а стало быть и виртуалок на нем) влобовую.Можно виртуалкам память вдоль и поперек пропатчить, например отшив selinux в них к такой-то фене или поменяв все что надо вообще не пользуясь средствами Linux :).И что по этому поводу сможет SELinux? Может кто-то внятно объяснить вместо того чтобы тупо ставить минусы? oO

"Дополнительная защита гостевых виртуальных окружений при пом..."
Отправлено vitek , 26-Авг-09 05:04

самый надёжный способ - вырубить ком и разойтись по домам :-D
уже то, что можно более плотно защитить хост-систему от "гостей" (например на vps, хотя там как-то больше предпочитают что-то на тему опенвз, виртуозо :-D) - это уже большой плюс.
зы:
кстати, о плюсах и минусах - последние я не ставлю. каждый имеет право на своё мнение (установка миносов к ним точно не оносится :-D), да и польза от сворачиваний по моему сомнительна.
вот плюсы иной раз ставлю. по многим причинам - интересные мысли, правильность комментария,.. остроумие :-D

"Дополнительная защита гостевых виртуальных окружений при пом"
Отправлено AlRashidu , 25-Авг-09 23:55

>Я чего-то не понял в этой жизни?
ыыы причём здесь жизнь?