超级会员免费看
本文深入探讨了KVM虚拟化环境中的安全策略,包括SMEP技术防止恶意代码执行,使用cgroups精细控制客户机资源使用,以及通过SELinux和sVirt加强安全隔离。此外,还介绍了Intel的TXT技术及其Tboot组件在实现可信启动方面的作用,确保系统的安全启动。最后,讨论了虚拟网络的安全、远程管理的安全实践以及普通Linux系统的安全准则,强调了加密、最小化软件安装、服务隔离和权限控制的重要性。
如今,计算机信息安全越来越受到人们的重视,在计算机相关的各种学术会议、论文、期刊中“安全”(security)一词被经常提及。
因为KVM是Linux系统中的一个虚拟化相关的模块,qemu-kvm是Linux系统上一个普通的用户空间进程,所以Linux系统上的各种安全技术、策略对QEMU/KVM都是适用的。根据经验选择了其中的一些技术来介绍一下KVM的安全技术。
1、SMEP
有一些安全渗透(exploitation)攻击,会诱导系统在最高执行级别(ring0)上访问在用户空间(ring3)的数据和执行用户空间的某段恶意代码,从而获得系统的控制权或使系统崩溃。SMEP(Supervision Mode Execution Protection,监督模式执行保护),是Intel在2012年发布的代号为"Ivy Bridge"的新一代CPU上提供的一个安全特性。当控制寄存器CR4寄存器的20位(第21位)被设置为1时,表示SMEP特性是打开状态。SMEP特性让处于管理模式(supervisor mode,当前特权级别CPL<3)的程序不能获取用户模式(user mode,CPL=3)可以访问的地址空间上的指令,如果管理模式的程序试图获取并执行用户模式的内存上的指令,则会发生一个错误&
订阅专栏 解锁全文
扫一扫
552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
