威脅隔離!用SELinux保護虛擬化
譯文【51CTO.com獨家翻譯】虛擬化被認為是計算機技術發展史中的一次技術革命,它在資源分配,系統管理,電力和制冷成本節省,按需擴大或收縮資源等方面表現出極大的優勢,雖然人人都在談虛擬化,人人都準備用上虛擬化,但一直伴隨虛擬化揮之不去的陰影 - 安全問題 - 又讓無數人望而卻步。
虛擬化安全性如何?
當攻擊者攻破虛擬機,接管了虛擬機的所有控制權后會發生什么?如果系統管理程序(Hypervisor)存在bug又會發生什么?
在未虛擬化之前,我們隔離了服務器,攻擊者攻破一臺服務器后,他只能控制那一臺服務器,這時攻擊者必須采取網絡攻擊,攻擊網絡內的其它服務器,才有可能拿到其它服務器的控制權。系統管理員有很多工具檢測和保護網絡攻擊,如防火墻,網絡流量分析工具,入侵檢測工具等。
虛擬化后,在同一臺物理主機上運行了多個服務(應用程序),如果虛擬機被攻破,攻擊者只需要破壞系統管理程序,就可以達到破壞所有服務的目的。如果系統管理程序存在漏洞,攻擊者可以接管主機上托管的所有虛擬機,甚至可以向主機能直接訪問的虛擬機鏡像寫入惡意代碼。
聽起來非常恐怖吧,現在的問題是如果真發生這種情況時該如何處置,攻擊者對系統管理程序的漏洞興趣越來越濃,前不久Xen系統管理程序就已經被攻破了。——51CTO王文文:VMware的產品中同樣出現過類似問題,而現在他們已經在采用RSA的身份認證技術來緩解虛擬數據中心威脅了。那如果不使用身份認證技術的話,我們看看本文中SELinux的保護方式。
現在我們來看看Fedora 11中的libvirtd/qemu/kvm,libvirtd啟動所有虛擬機,所有虛擬機都以獨立的進程運行,虛擬鏡像被保存為一個文件或類似邏輯卷和iSCSI目標的設備。
SELinux真的有用么?
SELinux標記進程,文件和設備,同時負責定義被標記進程,文件和設備之間互操作的規則,通過SELinux可以減小系統管理程序漏洞引起的影響范圍。
如果你閱讀過Xen漏洞文檔,你一定知道如何繞過RHEL 5中SELinux保護機制,攻擊者知道標記為xend_t的xen進程可以讀/寫所有用fixed_disk_device_t標記的固定磁盤,通過寫物理磁盤,攻擊者可以繞過SELinux的限制。我給RHEL 5上的Xen編寫策略時,最初要求管理員將Xen鏡像設備卷標記為xen_image_t,Xen開發人員認為這對管理員的管理來說太困難了,可能會導致許多故障,我們沒有時間制作管理工具使其自動化,大家都認為在這個例子中可用性比安全更重要,我不得不同意他們的意見。
在Fedora 11中,James Morris,Daniel Berrange和我以及其它共事者給libvirt增加了SELinux支持,形成了sVirt,我們給libvirt增加了一個插件架構,默認啟用了SELinux保護,理論上你可以使用其它安全架構。libvirt動態地標記鏡像文件,并用正確的標記啟動虛擬機,管理員不必記住給鏡像文件和設備設置的標記,在F11中,默認所有虛擬機都使用svirt_t type類型標記,所有鏡像文件都使用svirt_image_t類型標記。
SELinux策略規定svirt_t進程可以讀/寫svirt_image_t文件和設備。
這種保護允許我們保護主機不受任何虛擬機的侵害,虛擬機只能與正確標記的文件和設備交互,被攻破的虛擬機不能訪問我的home目錄,即使虛擬機以root權限運行。
但這種類型的保護不能阻止一個虛擬機攻擊另一個虛擬機,我們需要一種方法使用相同的類型標記域和鏡像文件,與此同時,停掉虛擬機1,以svirt_t類型運行,攻擊虛擬機2,虛擬機2也將以svirt_t類型運行。
多類別安全(Multi Category Security,MCS)保護
我們在開發RHEL 5時,我們增加了MCS支持,包括給SELinux上下文增加第四個字段。
最開始在RHEL 4中,SELinux上下文只有三個字段:“用戶:角色:類型”,在RHEL 5中,SELinux上下文字段增加到四個:“用戶:角色:類型:MLS”,例如,home目錄中的文件可能被標記為system_u:system_r:user_home_t:TopSecretRecipe,MLS標記定義了一個敏感級別(s0-s15)和數據分類(c0.c1023),這個例子中的TopSecretRecipe是類似s15:c0.c36這樣的字段的人文翻譯,MLS標記允許MLS機器不僅可以基于它的使用者標記文件,在這個例子中是user_home_t,也可以根據敏感性和內容的本身屬性進行標記,如TopSecretRecipe。
這個字段僅在MLS策略中使用,我們嘗試在默認策略(targeted)中使用它,只定義一個敏感級別(s0),允許管理員定義分類,我們把它叫做多分類安全(MCS),旨在讓管理員和用戶可以基于文件內容的自身屬性進行標記,如system_u:object_r:database_t:PatientRecord可能是一個包含病人記錄的數據庫,遺憾的是,由于種種原因,MCS未被廣泛使用。
但我們在開發sVirt時,我們認識到可以使用MCS隔離兩個相同SELinux類型(svirt_t)的虛擬機,我們設計libvirt分配一個不同的隨機選擇的MCS標記給每個虛擬機及其關聯的虛擬鏡像,libvirt保證它選擇的MCS字段的唯一性,SELinux阻止以不同MCS字段運行的虛擬機互操作,這樣就保證了虛擬機不會相互攻擊。
例如,libvirt用下面這些標記創建兩個虛擬鏡像:
SELinux阻止虛擬機1(system_u:system_r:svirt_t:s0:c0,c10)訪問虛擬機2的鏡像文件(system_u:object_r:svirt_image_t:s0:c101,c230),因此這兩個虛擬機不能互相攻擊。
下面是libvirt指定的標記:
我們也給sVirt增加了靜態標記的功能,靜態標記允許管理員為虛擬機選擇一個特殊的標記,包括MCS/MLS字段,虛擬機將總是以這個標記啟動,運行靜態虛擬機的管理員負責給鏡像文件設置正確的標記,libvirt永遠不會修改靜態虛擬機上下文的標記,它允許sVirt組件在MLS環境下運行,你可以在一個libvirt系統上以不同敏感級運行多個虛擬機。
【51CTO.COM 獨家翻譯,轉載請注明出處及作者!】
【編輯推薦】
