虚拟机管理程序

虚拟机管理程序是实现并控制实际软件虚拟化的固件层。虚拟机管理程序包含以下组件：

• 在固件中实现并由系统的 CPU 支持的实际虚拟机管理程序。

• 在控制域中运行以配置虚拟机管理程序的内核模块。

• 在 I/O 域和服务器中运行以提供虚拟化 I/O 的内核模块和守护进程，以及通过逻辑域通道 (Logical Domain Channel, LDC) 通信的内核模块。

• 在来宾域中运行以访问虚拟化 I/O 设备的内核模块和设备驱动程序，以及通过 LDC 通信的内核模块。

威胁：突破隔离

攻击者可以突破虚拟机管理程序提供的隔离的运行时环境，劫持来宾域或整个系统。这种威胁可能会导致最严重的系统损坏。

评估：突破隔离

模块化的系统设计可以向来宾域、虚拟机管理程序和控制域授予不同级别的特权，从而加强隔离。每个功能模块都是在独立的可配置内核模块、设备驱动程序或守护进程中实现的。这种模块化要求干净的 API 以及简单的通信协议，以此降低整体错误风险。

即使利用某个错误的可能性看起来不存在，可能的损坏也可能导致攻击者控制整个系统。

对策：验证固件和软件签名

即使可以直接从 Oracle Web 站点下载系统固件和 OS 修补程序，这些修补程序也可能被操纵。在安装软件之前，请确保验证软件包的 MD5 校验和。所有可下载软件的校验和都是由 Oracle 发布的。

对策：验证内核模块

Oracle VM Server for SPARC 使用多个驱动程序和内核模块来实现整个虚拟化系统。随 Oracle Solaris OS 分发的所有内核模块和大多数二进制文件都带有数字签名。使用 elfsign 实用程序可以检查每个内核模块和驱动程序的数字签名。可以使用 Oracle Solaris 11 pkg verify 命令检查 Oracle Solaris 二进制文件完整性。请参见 https://blogs.oracle.com/cmt/entry/solaris_fingerprint_database_how_it。

首先，必须建立 elfsign 实用程序的完整性。使用基本审计和报告工具 (basic audit and reporting tool, BART) 实现数字签名验证过程自动化。《Integrating BART and the Solaris Fingerprint Database in the Solaris 10 Operating System》（《将 BART 与 Solaris 10 操作系统中的 Solaris 指纹数据库集成》）介绍了如何结合 BART 与 Solaris 指纹数据库以自动执行类似的完整性检查。虽然该指纹数据库已经停用，但可以继承本文档中描述的概念，以类似的方式使用 elfsign 和 BART。