Jailhouse - це гіпервізор розділів на основі Linux (Він розроблений як безкоштовний проект програмного забезпечення GPLv2). це є здатний запускати повні програми або операційні системи (адаптована) на додаток до Linux. Для цього цonfigure характеристики процесора та віртуалізації пристроїв платформи апаратне забезпечення, так що жоден із цих доменів, що називається «клітинками», не може втручатися один в одного неприйнятним чином.
Це означає що В'язниця не імітує ресурси, яких у вас немає. Просто ділить апаратне забезпечення на відокремлені відсіки, які називаються "комірки" Вони повністю присвячені гостьовому програмному забезпеченню, яке називається "ув'язнені".
Про тюрму
В'язниця оптимізована для простоти а не багатство можливостей. На відміну від повнофункціональних гіпервізорів на базі Linux, таких як KVM або Xen, В'язниця не підтримує перевитрати ресурсів як процесор, оперативна пам'ять або пристрої. Він не виконує жодного програмування і лише віртуалізує ті ресурси в програмному забезпеченні, які є важливими для платформи і не можуть бути розділені на апаратному забезпеченні.
Після активації Jailhouse він працює повністю, тобто він повністю контролює апаратне забезпечення і не вимагає зовнішньої підтримки.
Гіпервізор реалізований як модуль для ядра Linux і забезпечує віртуалізацію на рівні ядра. Гостьові компоненти вже включені в основне ядро Linux.
Для контролю ізоляції використовуються механізми апаратної віртуалізації забезпечуються сучасними процесорами. Відмінними рисами Jailhouse є його легка реалізація та його орієнтація на прив’язку віртуальних машин до фіксованого ЦП, області оперативної пам’яті та апаратних пристроїв. Цей підхід дозволяє працювати на декількох незалежних віртуальних середовищах на фізичному багатопроцесорному сервері, кожному з яких присвоєно своє власне ядро процесора.
Завдяки тісному зв’язку з центральним процесором, накладні витрати на операцію гіпервізора мінімізовані, а її реалізація значно спрощена, оскільки немає необхідності виконувати складний планувальник розподілу ресурсів - виділення окремого ядра центрального процесора гарантує, що він не виконує інші завдання на цей процесор.
Перевагою цього підходу є можливість забезпечити гарантований доступ до ресурсів та передбачувану продуктивність, що робить Jailhouse відповідним рішенням для створення завдань у реальному часі. Недоліком є обмежена масштабованість, яка базується на кількості ядер процесора.
Про нову версію Jailhouse 0.12
В даний час Jailhouse знаходиться у своїй версії 0.12, і в ній висвітлено підтримка Raspberry Pi 4 Model B та Texas Instruments J721E-EVM.
На додаток до пристрою ivshmem використовується для організації взаємодії між клітинами, був перероблений, і він також може реалізувати транспорт для VIRTIO.
Можливість відключити створення великої сторінки пам'яті (величезна сторінка) була реалізована для блокування вразливості CVE-2018-12207 на процесорах Intel, що дозволяє непривілейованому зловмиснику ініціювати відмову в обслуговуванні, що призводить до заморожування системи в "Помилці перевірки машини" держава.
Для систем з процесорами ARM64 підтримуються SMMUv3 (Блок управління системною пам'яттю) та TI PVU (Блок периферійної віртуалізації). Для середовищ пісочниці, які працюють поверх комп'ютера, додана підтримка PCI.
У системах x86 можна ввімкнути режим CR4. (Запобігання інструкціям в режимі користувача), що надається процесорами Intel, що дозволяє заборонити виконання певних інструкцій у просторі користувача, таких як SGDT, SLDT, SIDT, SMSW та STR, які можна використовувати в атаках, спрямованих на збільшення привілеїв в системі .
Отримайте в’язницю
В'язниця підтримує роботу в системах x86_64 з розширеннями VMX + EPT або SVM + NPT (AMD-V), а також на процесорах ARMv7 та ARMv8 / ARM64 з розширеннями віртуалізації.
Хоча крім того, розробляється генератор зображень, який базується на пакетах Debian для сумісних пристроїв.
Ви можете знайти інструкції щодо складання та встановлення, а також іншу інформацію У наступному посиланні.