+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RSS

Если тип CPU — KVM64, может ли виртуальная машина всё ещё использовать уязвимости CPU на хосте с отключёнными патчами ядра Linux для CPU?, Proxmox Виртуальная Среда

ice9

Guest

31.05.2025 11:31:00

Привет всем! У меня вопрос по конкретному сценарию безопасности в Proxmox: Предположим, что Linux Kernel CPU Patches отключены на хосте Proxmox. Теперь представим, что виртуальные машины настроены с типом CPU = kvm64, что является упрощенной и виртуальной моделью процессора, которая не предоставляет гостевой системе большую часть современных функций CPU. В такой конфигурации, возможно ли, чтобы злонамеренная или скомпрометированная VM вырвалась наружу и атаковала хост, используя известные уязвимости CPU, даже если гостевая система использует kvm64? Другими словами: действительно ли использование KVM64 на стороне гостя эффективно защищает хост от атак спекулятивного исполнения, инициированных внутри VM? Или отключение Linux Kernel CPU Patches на хосте все равно оставляет его уязвимым для определенных атак, независимо от типа виртуального процессора, представленного гостевым системам? А как насчет других типов, например x86-64-v2-AES или x86-64-v3? Буду очень признателен за любые разъяснения относительно того, насколько KVM64 обеспечивает защиту в данном контексте.

leesteken

Guest

31.05.2025 12:06:00

Я убежден, что уязвимости не зависят от архитектуры процессора, а от принципа спекулятивного выполнения команд вне порядка в современных CPU. Поэтому я не думаю, что использование более старых или более общих (вроде x86-64-v*) или "виртуальных" типов CPU (вроде kvm64 или qemu64) вообще решит проблему. Может быть, если отключить аппаратную виртуализацию KVM для VM и все команды будут эмулироваться (и вы получите ужасную производительность), это может повлиять? Переключение между VM и хостом — одна из тех точек, где CPU особенно уязвимы, независимо от настроенного типа CPU. Я не думаю, что можно как-то абстрагироваться от наличия уязвимого оборудования с помощью VM или надеяться, что вам не нужны эти меры защиты. Виртуализация может стать одной из самых лакомых целей для подобных уязвимостей (от одной VM к другой в облачной среде).

ice9

Guest

31.05.2025 12:47:00

Спасибо за уточнение. Итак, чтобы убедиться, что я правильно понимаю: если у хоста не установлены или не включены исправления (mitigations) уязвимости процессора Linux kernel, то даже при использовании типов процессоров, таких как kvm64 или других упрощенных моделей для виртуальных машин, хост все равно потенциально уязвим для атак на уровне процессора, исходящих из скомпрометированной виртуальной машины — верно? Если у вас есть какая-нибудь соответствующая документация или ссылки (от Proxmox, QEMU или KVM), которые более подробно объясняют это поведение, я был бы вам очень признателен, если бы вы могли ими поделиться. Еще раз спасибо за помощь.

guruevi Guest	#4 0 31.05.2025 13:51:00 Вот тут важно условие: всё зависит от того, о чём мы говорим. Если вы хотите разобраться в конкретной уязвимости, тут полно статей и работ, но речь идёт о классе уязвимостей, а не о конкретной (которых для каждого современного CPU есть десятки). Вкратце: два или несколько потоков, выполняющихся одновременно или по определённым предсказанным путям (любой CPU начиная с Pentium), теоретически могут получить доступ к физическому кэшу или его частям (память CPU) друг друга. Это не критично, если все программы доверяют друг другу, но проблема для виртуальных машин, браузеров и т.д. Показано, что это можно использовать, например, любой программой, которая может выполнять код, даже в песочнице, вроде VM или браузера. Затронет ли вас это: зависит от того, кто вы и что запускаете. Теоретическое ли это: часть да (пока что), часть нет. Какой риск: потеря ключей шифрования и других данных. Недостаток: на системах старше 5 лет вы увидите небольшую потерю производительности (несколько процентов для большинства задач) для систем Linux, большую потерю производительности (~20%) для систем Windows, в которых включены все меры защиты (примечание: Windows по умолчанию не включает меры защиты). Также вам понадобится новейшая прошивка, включая для CPU и UEFI, чтобы включить определённые меры защиты, новые CPU (последние 5 лет) меньше подвержены потере производительности. В рамках всего класса требуются как программные, так и аппаратные меры защиты, аппаратные, такие как отключение определённых инструкций CPU, что может делать Proxmox, программные, встроенные в современные ядра Linux, но более старые ядра и Windows требуют изменения настроек.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры