Solaris Zone & Sicherheit

[Stefan]

Hallo,

aktuell beschäftige ich mich mit verschiedenen Virtualisierungslösungen für eine Seminararbeit. Nachdem ich die Klassiker wie
VMware und XEN durch hatte bin ich auf Solaris gestoßen. Die Sache mit den Zonen/Container klingt sehr spannend. Eine Sache die mir speziell bei sämtlichen VMware Produkten über den Weg gelaufen ist, ist die Möglichkeit in einer VM zu erkennen, ob ein OS eben in einer VM oder auf nativer Hardware ausgeführt wird. Das Stichwort dazu lautet VM Detect. Es gibt verschiedene Werkzeuge die das ermöglichen.
Meine Frage ist nun, ob es auch solche Techniken für Zonen/Container im Zusammenhang mit Solaris gibt? Noch schlimmer wäre natürlich, wenn ein Ausbruch (VM Escape) aus einer Zone möglich wäre!?

[Drusus]

Moin,

unter Solaris kannst du einfach mit dem Befehl "zonename" nachschauen ob du dich in einer non-global Zone befindest (in dem Fall ist die Ausgabe nicht "global" sondern der Name der entsprechenden Zone).

Wenn es eine Moeglichkeit geben wuerde aus der non-global Zone auszubrechen, so waere das ein Sicherheits Bug. Ein solcher ist bislang nicht bekannt.

Wenn du dich schon mit Virtualisierung allgemein beschaeftigst, so waere eine weitere Variante die "Logical Domains" (LDOMs). Diese gibt es auf den "Coolthreads" Systemen von Sun. Siehe dazu http://www.sun.com/servers/coolthreads/ldoms/index.jsp

Die diversen Virtualisierungs-Methoden haben alle so ihre Vor- und Nachteile. Welche man letztendlich nehmen sollte haengt somit stark vom Anwendungsfall ab. Solaris Zonen/Container verbrauchen vergleichsweise wenig Ressourcen, da sich die alle Zonen einen gemeinsamen Kernel teilen (ob sie sich noch mehr von der global Zone ausleihen haengt von der Konfiguration ab). Zum schnellen/einfachen einrichten von separierten Services ist sowas gut. Unterschiedliche Kernel (oder OS Releases) kann man so aber nicht parallel ausprobieren...

Tschau,
  Drusus.

[meik]

Hallo,

aktuell beschäftige ich mich mit verschiedenen Virtualisierungslösungen für eine Seminararbeit. Nachdem ich die Klassiker wie
VMware und XEN durch hatte bin ich auf Solaris gestoßen. Die Sache mit den Zonen/Container klingt sehr spannend.

Dir ist aber schon klar, dass das Äpfel und Birnen sind? VMware und Xen virtualisieren die Hardware, Zonen virtualisieren das Betriebssystem, ähnlich wie FreeBSD Jails oder Linux VServer.

Eine Sache die mir speziell bei sämtlichen VMware Produkten über den Weg gelaufen ist, ist die Möglichkeit in einer VM zu erkennen, ob ein OS eben in einer VM oder auf nativer Hardware ausgeführt wird. Das Stichwort dazu lautet VM Detect. Es gibt verschiedene Werkzeuge die das ermöglichen.
Meine Frage ist nun, ob es auch solche Techniken für Zonen/Container im Zusammenhang mit Solaris gibt?

Wieso ist das schlimm, wenn eine Software erkennen kann, dass sie in einer Zone oder einer VM läuft? Bei VMware sollte ein Blick ins BIOS oder auf diverse Hardware-Komponenten vom Hersteller "VMware" genügen, um das ziemlich sicher festzustellen. Dazu muss man nicht erst aufwändig das Verhalten von speziellen Befehlen analysieren.

Ziel ist es ja nicht, einer Anwendung oder einem Betriebssystem absolut perfekt vorzugaukeln, dass es in einer virtuellen Umgebung läuft, es reicht wenn diese Illusion "gut genug" ist. Und manchmal will man sogar, dass der Gast dieses Wissen sogar nutzt, siehe VMware Tools, siehe paravirtualisierte Treiber bei Xen. Interessant ist so eine perfekte Illusion vielleicht für Wissenschaftler oder Viren-Programmierer.

Insofern bietet Solaris einen Befehl "zonename", der den Namen der Zone zurück meldet.

Noch schlimmer wäre natürlich, wenn ein Ausbruch (VM Escape) aus einer Zone möglich wäre!?

Bugs gibt es in jeder Software, zumindestens für VMware kann ich mich an Meldungen über Sicherheitslücken dunkel erinnern. Das sind aber erstmal nur implementierungsspezifische Fehler und keine konzeptionellen Probleme, aus denen die Computerbild fette Titelstorys mit Gruseleffekt bauen könnte.

[meik]

Moin,

unter Solaris kannst du einfach mit dem Befehl "zonename" nachschauen ob du dich in einer non-global Zone befindest (in dem Fall ist die Ausgabe nicht "global" sondern der Name der entsprechenden Zone).

Ja, wobei man vielleicht erklären sollte, dass die globale Zone quasi die "Mutter" aller anderen Zonen ist, die alle anderen Zonen steuert. Betriebssysteme ohne Solaris Zonen haben also quasi nur eine solche globale Zone. ;-)

Wenn es eine Moeglichkeit geben wuerde aus der non-global Zone auszubrechen, so waere das ein Sicherheits Bug. Ein solcher ist bislang nicht bekannt.

Lustigerweise hat mir Google gerade bei der Suche was über einen Bug in dem Umfeld ausgespuckt:

http://sunsolve.sun.com/search/document.do?assetkey=1-26-237965-1

Ist aber kein konzeptioneller Bug, und auch direkt gefixt. Also kein Grund für eine Schlagzeile in der Computerwoche. ;-)

Wenn du dich schon mit Virtualisierung allgemein beschaeftigst, so waere eine weitere Variante die "Logical Domains" (LDOMs). Diese gibt es auf den "Coolthreads" Systemen von Sun. Siehe dazu http://www.sun.com/servers/coolthreads/ldoms/index.jsp

Es gibt einen ziemlich guten Container-Leitfaden von ein paar deutschen Sunnies:

http://de.sun.com/teleweb/virtualisierung/pdf/ptt-leitfaden-solaris-container-v2.0.pdf

Und von einem der Autoren hier nochmal eine Präsentation, die etwas mehr Augenmerk auf die Alternativen von Sun wie LDOMS legt. xVM Server basiert übrigens auf Xen, da der Name aber Citrix gehört, spricht Sun da offiziell nur von "based on the work of the Xen community".

http://de.sun.com/sunnews/events/2008/sundays_ap/pdf/9-virtualisierung-mit-solaris-v10.pdf