[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2007 ml@sikurezza.org Soggetto: [ml] follow up: virtualizzazione & sicurezza Mittente: Giuseppe Paternò (Gippa) Data: Fri, 4 May 2007 11:49:02 +0200 (CEST)
Ciao a tutti! Ho sentito i miei colleghi e ho avuto news ... avrei voluto fare una risposta "decente" scritta bene sul mio blog, solo che con la mia vita lavorativa + vita personale non ho avuto molto tempo per razionalizzare in italiano un discorso decente.
Visto che ho risposto via mail a quelcuno della ML, approfitto per fare un po' di c&p e brevemente ti dico che il punto debole della catena che potrebbe essere attaccato e' l'hypervisor (gira a ring0), esattamente alla stessa stregua di quanto potrebbe essere una ILO.
Se viene usata la full virtualization, praticamente non si puo' fare nulla. Se viene usata la para virtualization, l'hypervisor comunica con la guest solo a livello di device drivers (che gira a ring1 o ring3 a secondo delle piattaforme i386/x86_64). La shared memory, a meno che non la specifichi e lo forzi, non viene condivisa tra i domini.
In piu' consiglio la lettura di un papero "Building a MAC-Based Security Architecture for the Xen Open-Source Hypervisor" del centro di ricerca TJ Watson di IBM. Praticamente SELinux su Xen. sHype e' gia' inserito nel tree vanilla di Xen, anche se Red Hat si sta orientando verso XSM (Xen Security Module), insomma stile LSM.
Spero di avere in qualche modo risposto alle vostre curiosita'. Ciao, Gippa
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005