¿Hay formas de proteger los núcleos de invitado en el nivel del hipervisor?

15

Supongamos que tengo un invitado de Linux que se ejecuta en xen y quiero que xen compruebe la integridad del kernel de invitado para que sepa que no hay ningún rootkits o similar activo.

¿Hay alguna manera de lograr esto con xen u otros hipervisores?

    
pregunta baj 30.03.2011 - 13:58
fuente

6 respuestas

6

Eso existe fácilmente? No estoy al corriente. Sin embargo, dentro del espacio de memoria que la máquina virtual asigna, el núcleo está en una ubicación predecible. Uno podría escribir código que lea la memoria y compare la estructura con lo que se espera.

Si estuviera implementando una criatura así, me concentraría en seguir las API del sistema y asegurarme de que fueran apropiadas. Un desafío probable es que las diferentes versiones del kernel tendrán cambios en diferentes áreas. Puede que tenga que hacer la asignación en una base de kernel por kernel.

Es posible que pueda ejecutar chrootkit externamente a la máquina virtual al exportar sus sistemas de archivos. Nunca he intentado tal cosa, pero apuesto a que sería un excelente proyecto de investigación.

EDITAR: o lea las imágenes de su disco directamente en vivo y use buenas comparaciones de hash conocidas desde fuera de la vM. Entonces su máquina virtual continúa funcionando, pero tiene la ventaja de la confianza de "LiveCD". Allí, ahora tengo respuestas ordenadas de lo más esotérico a lo más fácilmente disponible.

    
respondido por el Jeff Ferland 30.03.2011 - 15:28
fuente
1

xm dump-core - > volcado de memoria xen

enlace
Buscando procesos activos y archivos abiertos.

ante todo para buscar archivos

    
respondido por el baj 03.04.2011 - 00:49
fuente
1

La introspección del hipervisor permite el acceso a la memoria a los invitados desde el host.

Aquí hay 2 ejemplos de envejecimiento:

1) XenAccess 2) Ukwazi-Xen

    
respondido por el atdre 04.04.2011 - 22:09
fuente
0

BlockWatch monitorea los sistemas operativos invitados mediante la inspección de las instantáneas de memoria.

Utiliza instantáneas porque normalmente se pueden convertir en un formato común (MINIDUMP), este es el caso de Hyper-V y VMWare.

BlockWatch también tiene secuencias de comandos de Python para automatizar instantáneas / exportar / escaneo de memoria / limpieza. La validación de la memoria se realiza con hash criptográficamente seguro (Tiger192). Actualmente valida los sistemas operativos Windows de 32 y 64 bits.

    
respondido por el RandomNickName42 21.04.2011 - 13:45
fuente
0

Desde el momento en que se hizo esta pregunta, algunos han sido puestos en libertad. De ellos, solo uno es de uso común, que es RKP de Samsung Knox . Es una solución basada en hipervisor que verifica la integridad del kernel en ejecución. Funciona detectando modificaciones en las estructuras del kernel y monitoreando las credenciales.

También hay algunos diseños experimentales, como SecVisor y Capsule .

    
respondido por el forest 18.12.2018 - 04:10
fuente
-1

virt-ice hará el truco. pero creo que no fue lanzado todavía.

    
respondido por el baj 02.05.2011 - 00:29
fuente

Lea otras preguntas en las etiquetas