Jailhouse është një mbikëqyrës ndarës i bazuar në Linux (Beenshtë zhvilluar si një projekt falas i softuerit GPLv2). Është të aftë për të ekzekutuar aplikacione të plota ose sisteme operative (përshtatur) përveç Linux. Për këtë qëllim, ckonfiguroni karakteristikat e platformës së CPU-së dhe virtualizimit të pajisjes hardware në mënyrë që asnjë nga këto fusha, të quajtura "qeliza", të mos mund të ndërhyjë me njëri-tjetrin në një mënyrë të papranueshme.
Kjo do të thotë se Jailhouse nuk imiton burimet që nuk i keni. thjesht ndan harduerin në ndarje të izoluara të quajtura "qeliza" Ata janë plotësisht të dedikuar për programet e ftuar të quajtur "të burgosur".
Rreth burgut
Jailhouse është optimizuar për thjeshtësi sesa pasuria e tipareve. Ndryshe nga hipervizorët e bazuar në Linux me tipare të plota si KVM ose Xen, Jailhouse nuk mbështet nënkompetimin e burimeve si CPU, RAM ose pajisjet. Ai nuk bën ndonjë programim dhe vetëm virtualizon ato burime në softuer, të cilat janë thelbësore për një platformë dhe nuk mund të ndahen në pajisje.
Sapo të aktivizohet Jailhouse, ai funksionon plotësisht, që do të thotë se merr kontroll të plotë mbi pajisjen dhe nuk kërkon mbështetje të jashtme.
Hypervisor zbatohet si një modul për kernelin Linux dhe siguron virtualizim në nivelin e kernelit. Komponentët e vizitorëve janë përfshirë tashmë në kernelin kryesor Linux.
Mekanizmat e virtualizimit të harduerit përdoren për të kontrolluar izolimin të siguruara nga NJMF-të moderne. Shenjat dalluese të Jailhouse janë zbatimi i tij i lehtë dhe orientimi i tij drejt lidhjes së makinave virtuale me një CPU fikse, zonë RAM dhe pajisje hardware. Kjo qasje lejon funksionimin e disa mjediseve të pavarura virtuale në një server multiprocesor fizik, secilit prej të cilëve i është caktuar bërthama e vet e procesorit.
Me një lidhje të ngushtë me CPU, niveli i sipërm i operacionit të hipervizorit minimizohet dhe zbatimi i tij thjeshtësohet shumë, pasi nuk ka nevojë të kryhet një planifikues kompleks i shpërndarjes së burimeve - caktimi i një bërthame të veçantë të CPU siguron që ajo të mos kryejë detyra të tjera në kjo CPU.
Përparësia e kësaj qasjeje është aftësia për të siguruar qasje të garantuar në burime dhe performancë të parashikueshme, duke e bërë Jailhouse një zgjidhje të përshtatshme për krijimin e detyrave në kohë reale. E keqja është shkallëzimi i kufizuar, i cili bazohet në numrin e bërthamave të CPU-së.
Rreth versionit të ri të Jailhouse 0.12
Aktualisht, Jailhouse është në versionin e tij 0.12 dhe nënvizon Mbështetje për Raspberry Pi 4 Model B dhe Texas Instruments J721E-EVM.
Përveç pajisjes ivshmem përdoret për të organizuar ndërveprimin midis qelizave, është ridizenjuar dhe se mund të zbatojë gjithashtu transportin për VIRTIO.
Aftësia për të çaktivizuar krijimin e faqes së kujtesës së madhe (faqe e madhe) është zbatuar për të bllokuar cenueshmërinë CVE-2018-12207 në procesorët Intel, duke lejuar një sulmues të pa privilegjuar të fillojë një mohim të shërbimit, duke çuar në sistemin e ngrirjes në "Gabimin e Verifikimit të Makinës" shtet.
Për sistemet me procesorë ARM64, SMMUv3 mbështeten (Njësia e Menaxhimit të Kujtesës së Sistemit) dhe TI PVU (Njësia e Virtualizimit Periferik). Për mjediset e sandbox-it që funksionojnë në majë të kompjuterit, është shtuar mbështetja PCI.
Në sistemet x86 është e mundur të aktivizoni modalitetin CR4. (Parandalimi i udhëzimeve në mënyrën e përdoruesit) të siguruar nga procesorët Intel, i cili lejon të ndalojë ekzekutimin e disa udhëzimeve në hapësirën e përdoruesit, të tilla si SGDT, SLDT, SIDT, SMSW dhe STR, të cilat mund të përdoren në sulme që synojnë rritjen e privilegjeve në sistem .
Merrni burgun
Jailhouse mbështet funksionimin në sistemet x86_64 me shtesa VMX + EPT ose SVM + NPT (AMD-V), si dhe në procesorë ARMv7 dhe ARMv8 / ARM64 me shtesa virtualizimi.
Megjithëse përveç kësaj, është duke u zhvilluar një gjenerator imazhesh që bazohet në paketat Debian për pajisjet e përputhshme.
Ju mund të gjeni udhëzimet e përpilimit dhe instalimit, si dhe informacione të tjera Në lidhjen vijuese.