> Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались способы
> подломить xen(виртуалка), а сколько openvz(контейнеры). Практики читают тематические рассылки и форумы. И знают, что к каждому второму эксплойту Linux Kernel - приписка что "у нас-де есть приватный сплойт VZ, но здесь мы вам его не дадим". Потому что скрипткидисы тут же все разворотят, а профита авторам сплойта ноль.
Это даже если забыть о том факте что команда делающая VZ тупит, поэтому в VZшном ядре может болтаться энное количество широко известных CVE неопределенное время. Xen хрен его знает, я KVMом пользуюсь. В нем дыр умеренно, патчат вовремя. В майнлайне известные дыры долго не живут, да и в майнтайнерских/LTSных ядрах тоже. И не надо фикшеное ядро туповйэтить месяцами.
> Начать можно с соседней новости.
Это про нового спектра? И как, его уже запатчили в VZшных ядрах? Все 8? Или надо полгодика подождать, сидючи с широко известной дыренью класса "полный пэ", как обычно у VZ?
> Также они могут зайти на любого хостера, использующего openvz, и попробовать его взломать,
Так для этого надо сначала зайти на черный рынок и купить приватный сплойт. Нахаляву VZшные эксплойты особо не дают. Традиция такая.
> после чего доложить о результатах.
А там есть что-то ценное, чтобы окупить коммерческий сплойт? А то виртуалок можно нарезать и просто купив у хецнера дедик за копье и нарезав его. За это в отличие от - в кутузку не упакуют, так что круто шифроваться не придется. За стоимость VZшного сплойта можно довольно долго аренду дедика оплачивать.
> Предлагать взломать solaris zones даже не буду, боюсь титеретики про них не слышали.
А практики тупо не найдут с ними хост в интернете. А так ты и мой LD_PRELOAD не сломаешь, но не потому что офигенно безопасный, а просто потому что не ожидаешь такого западла. А был бы он на миллионе хостов - на черно-серых рынках на него быстренько бы склепали воркэраунд.
На именно VZ - все есть, но обычно за денежку и достаточно увесистую.
> Теорию тоже неплохо бы подтянуть, особенно на тему "код в ней доступа к железу не имеет".
В случае KVM/Qemu это в основном таки обычный user-mode процесс. И напрямую он в железо хоста слазить - ну вообще совсем не того. Ему тут же exception прилетит от проца за такое поползновение. А то что гипервизор может вмешаться и в каких-то сильно отдельных случаях приврать что нечто все-таки сработало - уже на усмотрение гипервизора.
Еще виртуалка не может фигарить сисколы ядра напрямую. А покормить ядро г-ном через сисколы достаточно перспективно. Если храбрый - запусти fuzzer сисколов на одном из VZ контейнеров. Правда если у тебя в результате подохнет весь хост - я таки не несу ответственности за ущерб репутации и проч, ты должен был знать на что шел.
> Ну и наконец освоить понятие контекста и понять, что значит "в данной
> задаче", после чего перестать рассказывать про злобных хацкеров, когда речь идет об изоляции приложения.
Ну во первых, требования к изоляции приложения тоже могут быть разные. Какие-то приложения долбают больше, какие-то меньше. С разным уровнем технологий атак в процессе. Во вторых, OVZ для этого использовать вообще жоский мазохизм. Ибо сразу +20 к геморрою майнтенанса системы, за сам факт. В этом плане даже докер поганый будет сильно лучше. По крайней мере он запустится на стандартном ядре дистра и там не будет пачка известных vuln месяцами висеть.
