如今,计算机信息安全越来越受到人们的重视,在计算机相关的各种学术会议、论文、期刊中“安全”(security)一词被经常提及。
因为KVM是Linux系统中的一个虚拟化相关的模块,qemu-kvm是Linux系统上一个普通的用户空间进程,所以Linux系统上的各种安全技术、策略对QEMU/KVM都是适用的。根据经验选择了其中的一些技术来介绍一下KVM的安全技术。
1、SMEP
有一些安全渗透(exploitation)攻击,会诱导系统在最高执行级别(ring0)上访问在用户空间(ring3)的数据和执行用户空间的某段恶意代码,从而获得系统的控制权或使系统崩溃。SMEP(Supervision Mode Execution Protection,监督模式执行保护),是Intel在2012年发布的代号为"Ivy Bridge"的新一代CPU上提供的一个安全特性。当控制寄存器CR4寄存器的20位(第21位)被设置为1时,表示SMEP特性是打开状态。SMEP特性让处于管理模式(supervisor mode,当前特权级别CPL<3)的程序不能获取用户模式(user mode,CPL=3)可以访问的地址空间上的指令,如果管理模式的程序试图获取并执行用户模式的内存上的指令,则会发生一个错误&