Debajo hay una copia de mi respuesta que di en otro hilo ( ¿Ejecutar máquinas virtuales dentro de máquinas virtuales sería una forma más segura de estudiar virus, etc.? ) sobre un tema de seguridad de virtualización anidada. Me gustaría saber si mi respuesta fue correcta o incorrecta. Me gustaría saber si los controladores paravirtualizados son realmente un riesgo de seguridad y si SELinux (como sVirt) puede hacer algo al respecto.
Yo: (esto fue a mediados de 2012, antes de un buen soporte para la virtualización anidada)
Puede ejecutar una VM dentro de una VM, pero probablemente no podrá usar virtualización de hardware. Todavía debería funcionar el pensamiento, pero lo harás probablemente tenga que usar diferentes hipervisores (ejemplo: VirtualBox para primera VM, VMware para la segunda). Creo que esto es innecesario y inseguro. RHEL y Fedora (y quizás otros) tienen soporte incorporado para ejecutando KVM y utilizando SElinux para restringir el proceso de VM en el host. SElinux proporciona una amplia protección, pero no contra paravirtualizado Vulnerabilidades del controlador. Para máxima seguridad, no utilizar Conductores paravirtualizados.
X:
no aparece en la cita: nada de lo que pude encontrar sugiere que SELinux es inefectivo cuando los controladores paravirtualizados están en uso en KVM, y una La búsqueda rápida en Google tampoco reveló nada. Tienes un fuente para esto?
Han pasado más de 2 años
Yo:
Creo que la última parte fue mi propia idea y no hay otra fuente. OMI, los controladores paravirtualizados no están sujetos a la seguridad de SELinux controla porque SELinux controla los procesos del espacio de usuario, archivos, etc. I Creo que los conductores paravirtualizados trabajan por comunicación directa entre kernel e hipervisor invitados, lo que resulta en un rendimiento superior, pero exponga una parte de hipervisor al invitado, que de lo contrario sería inalcanzable No tengo evidencia de esto, así que podría estar completamente mal.