WebVM : une machine virtuelle Linux fonctionnant entièrement dans le navigateur web grâce à WebAssembly. (via Bearstech)
Émulation de la présence d'un ventilateur dans un VM (par exemple pour tromper un malware)
LXD est une suite d’outils visant à faciliter le management de la couche LXC (LinuX Containers) du noyau Linux. Les containers sont des environnements confinés où les applications peuvent s’exécuter sans attenter à l’intégrité du système hôte ainsi que des autres containers.
papier redhat / cisco
LXC Resources
-
http://www.blaess.fr/christophe/2012/01/07/linux-3-2-cfs-cpu-bandwidth-english-version/
-
http://www.janoszen.com/2013/02/06/limiting-linux-processes-cgroups-explained/
-
http://oakbytes.wordpress.com/2012/09/02/cgroup-cpu-allocation-cpu-shares-examples/
-
http://fritshoogland.wordpress.com/2012/12/15/throttling-io-with-linux/
-
https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt
-
http://www.ibm.com/developerworks/library/l-mount-namespaces/
-
http://blog.endpoint.com/2012/01/linux-unshare-m-for-per-process-private.html
-
http://s3hh.wordpress.com/2012/05/10/user-namespaces-available-to-play/
-
http://docs.openstack.org/trunk/config-reference/content/lxc.html
-
libcontainer (de docker.io) https://github.com/dotcloud/docker/tree/master/pkg/libcontainer
http://blog.docker.io/2014/03/docker-0-9-introducing-execution-drivers-and-libcontainer/ -
warden (cloudfoundry aka CF) basé sur cgroup (et non habillage lxc) https://github.com/cloudfoundry/warden/blob/master/README.md
https://groups.google.com/a/cloudfoundry.org/forum/#!topic/vcap-dev/V-lVpMpNqL4
https://docs.google.com/a/gopivotal.com/document/d/1DDBJlLJ7rrsM1J54MBldgQhrJdPS_xpc9zPdtuqHCTI/edit -
google lmctfy - Let Me Contain That For You - https://github.com/google/lmctfy
mais aussi
Vagrant (sur OpenVM) http://www.vagrantup.com/
et plein de liens sur des papiers et vulns, historiques, ... en particulier vmware
virt en général (intel)
-
An Empirical Study into the Security Exposure to ... - Tavis Ormandy
http://taviso.decsystem.org/virtsec.pdf -
Virtualisation security and the Intel privilege model Tavis Ormandy, Julien Tinnes Nov 2009
https://www.cr0.org/paper/jt-to-virtualisation_security.pdf -
Sécurité et Virtualisation - OSSIR
http://www.ossir.org/jssi/jssi2009/3A.pdf -
Breaking virtualization by switching to Virtual 8086 mode
http://www.hackitoergosum.org/2010/HES2010-jbrossard-Breaking-Virtualization-by-switching-to-Virtual-8086-mode.pdf- URL/infos extraites:
Privilege escalation on the host: VMware Tools HGFS Local Privilege Escalation Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=712
Privilege escalation on the Guest:
CVE-2009-2267 « Mishandled exception on page fault in VMware » Tavis Ormandy and Julien Tinnes
Attacking other guests: Vmare workstation guest isolation weaknesses (clipboard transfer)
http://www.securiteam.com/securitynews/5GP021FKKO.html
DoS (Host + Guests)
CVE-2007-4591 CVE-2007-4593 (bad ioctls crashing the Host+Guests)
Escape to host Rafal Wojtczuk (Invisible things, BHUS 2008)
IDEFENSE VMware Workstation Shared Folders Directory Traversal Vulnerability (CVE-2007-1744) - runs 8086 (v86) programs on amd64: http://v86-64.sourceforge.net/
et prez similaires http://fr.slideshare.net/endrazine/hackinthebox-breaking-virtualization-by-any-means
http://fr.slideshare.net/kbour23/d1-t2-jonathan-brossard-breaking-virtualization-by-switching-to-virtual-8086-mode - URL/infos extraites:
-
http://www.pauldotcom.com/2007/07/31/escaping_from_the_virtualizati.html
-
A Survey on the Security of Virtual Machines (un papier résumé de 2009)
http://www.cs.wustl.edu/~jain/cse571-09/ftp/vmsec/
Attaques cryptographiques de type Side-Channel entre des machines virtuelles
http://www.secuobs.com/news/05112012-cross_vm_side_channel_attacks.shtml#contenu
-
vmware - qques considerations et liens
http://security.stackexchange.com/questions/3056/how-secure-are-virtual-machines-really-false-sense-of-security -
vswitch
http://bradhedlund.com/2010/02/10/vswitch-illusion-dmz-virtualization/
old stuff
- Cloudburst: Hacking 3D (and Breaking Out of VMware)
http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kortchinsky-Cloudburst-SLIDES.pdf
papier cité pour comprendre SVGA : GPU Virtualization on VMware’s Hosted I/O http://www.usenix.org/event/wiov08/tech/full_papers/dowty/dowty.pdf
advisories
- http://www.vmware.com/security/advisories/VMSA-2013-0002.html
VMware ESX/ESXi 'VMCI.SYS' Driver Flaw Lets Local Users Gain Elevated Privileges
détails http://www.cylance.com/labs/advisories/02-08-2013-Advisory.shtml (voir impression dans pdf)
pas la première fois que ça arrive: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1147
VMware tools
-- Install & config guide pdf page 50, et suivantes
Virtual Machine Communication Interface (VMCI) pour
ESXi 5.0 et versions antérieures Cette configuration s'applique à ESXi 5.0 et
aux machines virtuelles précédentes. Il ne s'applique pas aux ESXi 5.1 et aux
machines virtuelles plus récentes.
Si l'interface VMCI n'est pas limitée, une machine virtuelle peut détecter les
autres machines virtuelles et être détectée par celles-ci avec la même option
activée dans le même hôte. Le logiciel intégré personnalisé qui utilise cette
interface peut contenir des failles de sécurité inattendues qui peuvent être
Installation et configuration de VMware Tools
50 VMware, Inc.
exploitées. En outre, une machine virtuelle peut détecter le nombre machines
virtuelles qui se trouvent dans un même système ESX/ESXi en enregistrant la
machine virtuelle. Cette information pourrait être utilisée à des fins
malveillantes. La machine virtuelle peut être exposée aux autres dans le
système dès lors qu'au moins un programme est connecté à l'interface de socket
VMCI. Utilisez le paramètre .vmx pour limiter l'interface VMCI :
vmci0.unrestricted = "FALSE"
Security of the VMCI Device
http://pubs.vmware.com/vsphere-51/index.jsp?topic=%2Fcom.vmware.vmci.pg.doc%2FvsockSecurity.7.1.html