V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
edis0n0
V2EX  ›  信息安全

PVE CPU 类型选择 host 会提高虚拟化逃逸的风险吗?

  •  
  •   edis0n0 · 2022-10-01 01:12:00 +08:00 · 3313 次点击
    这是一个创建于 785 天前的主题,其中的信息可能已经有所发展或是发生改变。
    12 条回复    2022-10-01 15:38:34 +08:00
    Yien
        1
    Yien  
       2022-10-01 02:04:39 +08:00 via Android
    关注
    bao3
        2
    bao3  
       2022-10-01 02:12:01 +08:00 via iPhone
    会确实是会,但这个机率已经低到近乎是 0 了。比如前年 intel cpu 的 漏洞,就可以发生你担忧的事情。利用 host cpu 的指令转换来 提升攻击的特权,这个在 20 多年前的 CIH 病毒植入到 BIOS 就在用了。

    但仍然还是要说,这个机率实在太低了,比如 intel cpu 早就发布了补丁,操作系统的 security 升级自动就套用了(不过 PVE 用户好像一般不太升级)。
    geekvcn
        3
    geekvcn  
       2022-10-01 02:14:04 +08:00
    pve 新版本已经默认打了幽灵熔断补丁
    edis0n0
        4
    edis0n0  
    OP
       2022-10-01 02:15:38 +08:00
    @bao3 #2 如果不使用 host 类型就不能利用这些 CPU 漏洞了么?感觉 CPU 预测执行还是比较危险的,例如前两个月刚曝出来的 Retbleed 漏洞(小道消息说 3 年多前就被发现了,被 CPU 厂商要求封口)
    lanyi96
        5
    lanyi96  
       2022-10-01 02:18:11 +08:00
    如果是个人使用或者小公司使用都不用担心这些事情,没人用核弹来打猎。多考虑一下弱口令更有现实意义
    bao3
        6
    bao3  
       2022-10-01 02:29:44 +08:00 via iPhone
    @edis0n0 如果不指定成 host ,虚拟化是在内核的特定空间内执行指令,没人保证如果内核泄漏了,虚拟终端会不会提权,影响安全。
    这些可能都有,甚至也发生过,但都接近于 0 的机率。在这样的机率下去讨论问题,除非你是用于信息极度敏感行业,否则是无意义的。
    winglight2016
        7
    winglight2016  
       2022-10-01 08:49:30 +08:00
    我使用 pve ,图的就是方便初始化 vm 的,反正有啥没搞好的,直接删掉恢复快照,host 上也没什么重要的东西。包括 vps 的机器也是一样,被攻击了,我就重装一下,都是 docker 容器,恢复起来非常快。真正有价值的数据,自己注意一下,并不容易损失。
    ihciah
        8
    ihciah  
       2022-10-01 09:13:59 +08:00 via iPhone
    这个 host 类型具体是啥效果?我猜就是透传 cpuid ,允许物理 cpu 的所有 feature 。如果是这样那就没啥已知安全问题,和受不受侧信道攻击无关。
    edis0n0
        9
    edis0n0  
    OP
       2022-10-01 10:33:03 +08:00
    @ihciah #8 如果不透传 cpuid ,虚拟机内的恶意程序还能访问这些可能存在漏洞的 cpu feature 吗?
    sjmcefc2
        10
    sjmcefc2  
       2022-10-01 11:52:36 +08:00
    pve 发生了一次 io 问题之后,强制关机,就再也没有起来过,感觉有点不敢用啊。
    WuSiYu
        11
    WuSiYu  
       2022-10-01 15:35:31 +08:00
    我记得 host 的主要影响是,如果你要热迁移 vm 的话,就只能迁移到相同或十分接近的 cpu 型号的机器上,安全性影响没那么大,除非漏洞只存在于特定的 cpu feature ,不然选成啥都不会对安全性有影响
    ihciah
        12
    ihciah  
       2022-10-01 15:38:34 +08:00 via iPhone
    @edis0n0 这个不太了解细节,我猜
    1. 敏感指令应该是一个预定义的集合,不会因为用户的特殊配置而导致非敏感指令触发 VM_EXIT 。
    2. 部分依赖 sreg 开启的特性应该可以控制。
    有人解答下吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1537 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:18 · PVG 01:18 · LAX 09:18 · JFK 12:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.