虚拟化被认为是计算机技术发展史中的一次技术革命，它在资源分配，系统管理，电力和制冷成本节省，按需扩大或收缩资源等方面表现出极大的优势，虽然人人都在谈虚拟化，人人都准备用上虚拟化，但一直伴随虚拟化挥之不去的阴影-安全问题-又让无数人望而却步。
　　虚拟化安全性如何？
　　当攻击者攻破虚拟机，接管了虚拟机的所有控制权后会发生什么？如果系统管理程序（Hypervisor）存在bug又会发生什么？
　　在未虚拟化之前，我们隔离了服务器，攻击者攻破一台服务器后，他只能控制那一台服务器，这时攻击者必须采取网络攻击，攻击网络内的其它服务器，才有可能拿到其它服务器的控制权。系统管理员有很多工具检测和保护网络攻击，如防火墙，网络流量分析工具，入侵检测工具等。
　　虚拟化后，在同一台物理主机上运行了多个服务（应用程序），如果虚拟机被攻破，攻击者只需要破坏系统管理程序，就可以达到破坏所有服务的目的。如果系统管理程序存在漏洞，攻击者可以接管主机上托管的所有虚拟机，甚至可以向主机能直接访问的虚拟机镜像写入恶意代码。
　　听起来非常恐怖吧，现在的问题是如果真发生这种情况时该如何处置，攻击者对系统管理程序的漏洞兴趣越来越浓，前不久Xen系统管理程序就已经被攻破了。——51CTO王文文：VMware的产品中同样出现过类似问题，而现在他们已经在采用RSA的身份认证技术来缓解虚拟数据中心威胁了。那如果不使用身份认证技术的话，我们看看本文中SELinux的保护方式。
　　现在我们来看看Fedora11中的libvirtd/qemu/kvm，libvirtd启动所有虚拟机，所有虚拟机都以独立的进程运行，虚拟镜像被保存为一个文件或类似逻辑卷和iSCSI目标的设备。
　　SELinux真的有用么？
　　SELinux标记进程，文件和设备，同时负责定义被标记进程，文件和设备之间互操作的规则，通过SELinux可以减小系统管理程序漏洞引起的影响范围。
　　如果你阅读过Xen漏洞文档，你一定知道如何绕过RHEL5中SELinux保护机制，攻击者知道标记为xend_t的xen进程可以读/写所有用fixed_disk_device_t标记的固定磁盘，通过写物理磁盘，攻击者可以绕过SELinux的限制。我给RHEL5上的Xen编写策略时，最初要求管理员将Xen镜像设备卷标记为xen_image_t，Xen开发人员认为这对管理员的管理来说太困难了，可能会导致许多故障，我们没有时间制作管理工具使其自动化，大家都认为在这个例子中可用性比安全更重要，我不得不同意他们的意见。
　　在Fedora11中，JamesMorris，DanielBerrange和我以及其它共事者给libvirt增加了SELinux支持，形成了sVirt，我们给libvirt增加了一个插件架构，默认启用了SELinux保护，理论上你可以使用其它安全架构。libvirt动态地标记镜像文件，并用正确的标记启动虚拟机，管理员不必记住给镜像文件和设备设置的标记，在F11中，默认所有虚拟机都使用svirt_ttype类型标记，所有镜像文件都使用svirt_image_t类型标记。
　　SELinux策略规定svirt_t进程可以读/写svirt_image_t文件和设备。
　　这种保护允许我们保护主机不受任何虚拟机的侵害，虚拟机只能与正确标记的文件和设备交互，被攻破的虚拟机不能访问我的home目录，即使虚拟机以root权限运行。
　　但这种类型的保护不能阻止一个虚拟机攻击另一个虚拟机，我们需要一种方法使用相同的类型标记域和镜像文件，与此同时，停掉虚拟机1，以svirt_t类型运行，攻击虚拟机2，虚拟机2也将以svirt_t类型运行。
　　多类别安全（MultiCategorySecurity，MCS）保护
　　我们在开发RHEL5时，我们增加了MCS支持，包括给SELinux上下文增加第四个字段。
　　最开始在RHEL4中，SELinux上下文只有三个字段：“用户:角色:类型”，在RHEL5中，SELinux上下文字段增加到四个：“用户:角色:类型:MLS”，例如，home目录中的文件可能被标记为system_u:system_r:user_home_t:TopSecretRecipe，MLS标记定义了一个敏感级别（s0-s15）和数据分类（c0.c1023）,这个例子中的TopSecretRecipe是类似s15:c0.c36这样的字段的人文翻译，MLS标记允许MLS机器不仅可以基于它的使用者标记文件，在这个例子中是user_home_t，也可以根据敏感性和内容的本身属性进行标记，如TopSecretRecipe。
　　这个字段仅在MLS策略中使用，我们尝试在默认策略（targeted）中使用它，只定义一个敏感级别（s0），允许管理员定义分类，我们把它叫做多分类安全（MCS），旨在让管理员和用户可以基于文件内容的自身属性进行标记，如system_u:object_r:database_t:PatientRecord可能是一个包含病人记录的数据库，遗憾的是，由于种种原因，MCS未被广泛使用。
　　但我们在开发sVirt时，我们认识到可以使用MCS隔离两个相同SELinux类型（svirt_t）的虚拟机，我们设计libvirt分配一个不同的随机选择的MCS标记给每个虚拟机及其关联的虚拟镜像，libvirt保证它选择的MCS字段的唯一性，SELinux阻止以不同MCS字段运行的虚拟机互操作，这样就保证了虚拟机不会相互攻击。
　　SELinux阻止虚拟机1（system_u:system_r:svirt_t:s0:c0,c10）访问虚拟机2的镜像文件（system_u:object_r:svirt_image_t:s0:c101,c230），因此这两个虚拟机不能互相攻击。
　　我们也给sVirt增加了静态标记的功能，静态标记允许管理员为虚拟机选择一个特殊的标记，包括MCS/MLS字段，虚拟机将总是以这个标记启动，运行静态虚拟机的管理员负责给镜像文件设置正确的标记，libvirt永远不会修改静态虚拟机上下文的标记，它允许sVirt组件在MLS环境下运行，你可以在一个libvirt系统上以不同敏感级运行多个虚拟机。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。