Jailhouse este un hipervizor de partiționare bazat pe Linux (A fost dezvoltat ca un proiect software GPLv2 gratuit). Este capabil să ruleze aplicații complete sau sisteme de operare (adaptat) pe lângă Linux. În acest scop, configurați caracteristicile de virtualizare ale procesoarelor și dispozitivelor platformei hardware astfel încât niciunul dintre aceste domenii, numite „celule”, să nu poată interfera unul cu celălalt într-un mod inacceptabil.
Aceasta înseamnă că Jailhouse nu emulează resurse pe care nu le aveți. pur și simplu împarte hardware-ul în compartimente izolate numite „celule” Acestea sunt pe deplin dedicate software-urilor invitate numite „deținuți”.
Despre Jailhouse
Jailhouse este optimizat pentru simplitate mai degrabă decât bogăția caracteristicilor. Spre deosebire de hipervizorii Linux cu funcții complete precum KVM sau Xen, Jailhouse nu acceptă resursele decât angajamentul cum ar fi CPU, RAM sau dispozitive. Nu face nicio programare și virtualizează doar acele resurse în software, care sunt esențiale pentru o platformă și nu pot fi partiționate pe hardware.
Odată ce Jailhouse este activat, acesta rulează complet, ceea ce înseamnă că preia controlul complet asupra hardware-ului și nu necesită suport extern.
Hipervizorul este implementat ca un modul pentru kernel-ul Linux și oferă virtualizare la nivel de nucleu. Componentele invitate sunt deja incluse în nucleul principal Linux.
Mecanismele de virtualizare hardware sunt utilizate pentru a controla izolarea furnizate de procesoare moderne. Caracteristicile Jailhouse sunt implementarea sa ușoară și orientarea sa către conectarea mașinilor virtuale la un procesor fix, o zonă RAM și dispozitive hardware. Această abordare permite operarea mai multor medii virtuale independente pe un server multiprocesor fizic, fiecăruia i se atribuie propriul nucleu de procesor.
Cu o legătură strânsă cu CPU, cheltuielile generale ale operației de hipervizor sunt reduse la minimum și implementarea sa este mult simplificată, deoarece nu este nevoie să efectuați un programator complex de alocare a resurselor - alocarea unui nucleu CPU separat asigură faptul că nu îndeplinește alte sarcini pe acest procesor.
Avantajul acestei abordări este capacitatea de a oferi acces garantat la resurse și performanțe previzibile, făcând din Jailhouse o soluție adecvată pentru crearea de sarcini în timp real. Dezavantajul este scalabilitatea limitată, care se bazează pe numărul de nuclee CPU.
Despre noua versiune a Jailhouse 0.12
În prezent, Jailhouse este în versiunea sa 0.12 și evidențiază Suport pentru Raspberry Pi 4 Model B și Texas Instruments J721E-EVM.
Pe lângă dispozitivul ivshmem folosit pentru a organiza interacțiunea dintre celule, a fost reproiectat și că poate implementa și transportul pentru VIRTIO.
Capacitatea de a dezactiva crearea paginilor de memorie mare (pagină imensă) a fost implementată pentru a bloca vulnerabilitatea CVE-2018-12207 pe procesoarele Intel, permițând unui atacator neprivilegiat să inițieze o refuzare a serviciului, ceea ce duce la blocarea sistemului în „Eroarea verificării mașinii” stat.
Pentru sistemele cu procesoare ARM64, sunt acceptate SMMUv3 (Unitatea de gestionare a memoriei de sistem) și TI PVU (Unitatea de virtualizare periferică). Pentru mediile sandbox care rulează deasupra computerului, a fost adăugat suport PCI.
Pe sistemele x86 este posibil să activați modul CR4. (Prevenirea instrucțiunilor în modul utilizator) furnizat de procesoarele Intel, care permite interzicerea executării anumitor instrucțiuni în spațiul utilizatorului, cum ar fi SGDT, SLDT, SIDT, SMSW și STR, care pot fi utilizate în atacuri care vizează creșterea privilegiilor pe sistem .
Ia Jailhouse
Jailhouse acceptă funcționarea pe sistemele x86_64 cu extensii VMX + EPT sau SVM + NPT (AMD-V), precum și pe procesoare ARMv7 și ARMv8 / ARM64 cu extensii de virtualizare.
Deşi în plus, se dezvoltă un generator de imagini care se bazează pe pachete Debian pentru dispozitive compatibile.
Puteți găsi instrucțiunile de compilare și instalare, precum și alte informații În următorul link.