VM внутри VM

Сударь знает толк в извращениях.

А зачем? Это как защита каскадом? Но как каскадный шифр — не последовательное зашифрование разными ключами и алгоритмами, так и каскадная виртуалка — не то, что вы предлагаете. Взломщик сломает самую внутреннюю VM, а потом будет по одной раскалывать следующие(?)

физическая защита( аппаратная изоляция ) есть только на между гостевыми ВМ, если поддерживается процессором. На хост ВМ тоже не попасть, но на ней ничего быть не должно, кроме ssh с параноидальными настройками и виртуальных контейнеров.

Т.е. если взять 3 гостевые ВМ, общающиеся последовательно(из-за настроек хостВМ), то напрямую из взломанной гостевой ВМ(даже выполняя код в ring0) на другую гостевую нормальную не попасть минуя последовательные атаки на все ВМ между ними, а если же логической связи между гостевыми контейнерами нет, то из взломанной гостевой ВМ почти нельзя попасть в другие вирт контейнеры. Есть конечно шанс ошибки в гипервизоре, или даже в реализации виртуальных/реальных драйверов т.е. возможность атаки на(через) хост ВМ, но сложность такой атаки гораздо выше.

В случае матрёшечной структуры аппаратной защиты нет, т.е. грубо говоря(обойдя SE и прочие радости) можно попробовать разместить исполняемый код в ring0(зависит от реализации паравиртуализации, но если в ней баги есть, то ring0 вполне реален), попав по сути на уровень хоста из любого уровня виртуализации.

Вообще, мне не очень понятно, как запускать виртуалку в виртуалке, и возможно ли это. Например, для хоста ОС и паравиртуализации в Xen нужно специальное dom0-ядро. Подозреваю, что система с таким ядром попросту не запустится в гостевом domU (как и наоборот), но, может быть, я чего-то не знаю.

Neverward, Т.е. вы рекомендуете соединять вм через мосты? Под логической связью что понимается тут?

Видимо, имелась в виду логическая сеть с рутингом: «гостевая 3» принимает трафик от «гостевой 2», которая принимает трафик от «гостевой 1». При этом «гостевая 1» злонамеренна по отношению к «гостевой 3». Так можно городить выход в сеть для одних гостевых через другие и т.д.

Вообще, мне не очень понятно, как запускать виртуалку в виртуалке, и возможно ли это. Например, для хоста ОС и паравиртуализации в Xen нужно специальное dom0-ядро. Подозреваю, что система с таким ядром попросту не запустится в гостевом domU (как и наоборот), но, может быть, я чего-то не знаю.

Точно возможно запустить XEN в режиме паравиртуализации на HVM XEN. В случае программной эмуляции по идее можно вообще сколько влезет(в память) запускать вложенные машины. Думаю wmplayer и подобные ВМ тоже могут запускаться вложено, надо как нибудь проверить. Также виртуализация, основанная на chroot, может выполнятся вложено если ядро системы поддерживает вложенные chroot. В крайнем случае можно допилить напильником ядро и таки реализовать вложенную виртуализацию. Но толку от неё особого не будет, так как аппаратной изоляции нет.

Видимо, имелась в виду логическая сеть с рутингом: «гостевая 3» принимает трафик от «гостевой 2», которая принимает трафик от «гостевой 1». При этом «гостевая 1» злонамеренна по отношению к «гостевой 3». Так можно городить выход в сеть для одних гостевых через другие и т.д.

Neverward, Т.е. вы рекомендуете соединять вм через мосты? Под логической связью что понимается тут?

да, бриджами или даже просто маршрутизацией траффика в dom0 можно построить такую топологию, что гость1 напрямую никак не сможет общаться с гость3

Для того, чтобы это было верно, HVM обязательно? Просто Xen'а не хватит? Всё-таки найти ноутбук, где BIOS не залочен в этом плане, не так-то просто. Тут пишут

In current versions of Xen (up to 4.2) only fully-virtualised HVM guests can make use of hardware support for multiple independent levels of memory protection and paging.

Да и вообще,

With some motherboards, Intel's VT-x feature must be enabled in the BIOS before applications can make use of it. ☭

Только вот большинство BIOS'ы попросту не дают таких опций клиентам (там сейчас вообще никаких интересных опций нет — комрьютер делают под ключ: заданную ОС и режим использования; всё остальное — на свой страх и риск).

Что за ерунду вы несёте. У меня и на ноуте, и на десктопе виртуализация прекрасно включается и выключается. (Сейчас ничего не поменялось, просто сделали фишку Secure Boot, которая спокойно отключается там же.)
Если такая опция не даётся, то процессор попросту не поддерживает аппаратную виртуализацию.

Неправда ваша. Процессор как раз поддерживает (vmx есть в /proc/cpuinfo), но это ничего не даёт. И на это не я один жалуюсь:

When I boot into BIOS today I do NOT see a switch for VT technology. HP does not offer an updated BIOS of any kind for my machine.

Ну а перепрошивать BIOS, тем более на ноуте, действие чреватое.

Для того, чтобы это было верно, HVM обязательно? Просто Xen'а не хватит?

Почему нет? Но мы теряем режим ring0 для гостя, что скорее всего приведёт к поломке SE или AppArmor.

Хватит тему засирать уже.
Neverward,
А и не нужно попадать из одной гостевой на другую. Цель – попасть на хостовую ОС, где уже можно узнать много что интересного.
Именно для этого я хотел организовать вложенность.

А и не нужно попадать из одной гостевой на другую. Цель – попасть на хостовую ОС, где уже можно узнать много что интересного.
Именно для этого я хотел организовать вложенность.

1 – на хост в случае XEN HVM попасть вряд-ли возможно в настоящее время. Если знаете как, и это zerro day уязвимость, то Вы уже миллионер.
2 – если из вложенной ВМ в результате ошибки удастся попасть в ring0, то Вы получаете доступ к хост машине из любого числа вложенных ВМ. Если ВМ выполняет абсолютно честную эмуляцию x86, то уже 3я вложенная ВМ будет адово тормозить, зато код не вылезет из ring3 скорее всего

neverward, а что скажете на счет vmware? Есть ли какие-нибудь лазейки?

neverward, а что скажете на счет vmware? Есть ли какие-нибудь лазейки?

Перед тем, как начать говорить о виртуализации следует заметить один нюанс -

Wmware проприетарный продукт, обычно в таком случае об отсутствии лазеек заложенных производителем утверждать нельзя, пока нет исходных кодов. Лазейки в общем смысле(т.е. не бэкдоры заложенные производителем) также скорее всего в наличии(законы Мёрфи действуют и в мире ПО), просто они могут быть zerro day. По постоянно выпускаемым критическим обновлениям актуальный продуктов можно наперёд сказать, что уязвимости есть почти везде, просто не все их обнаружили и эксплуатируют. Т.е. вопрос в том есть ли лазейки не совсем верный, лучше предполагать, что лазейки есть, а вопрос ставить в том, какой шанс, что уязвимость смогут эксплуатировать.

В общем можно считать, что какой нибудь гуляющий по сети вирус в хост через wmware очень вряд-ли можно подсадить, но на большее лучше не рассчитывать