El hipervisor es la capa de firmware que implementa y controla la virtualización del hardware real. El hipervisor incluye los siguientes componentes:
El hipervisor real, que se implementa en el firmware y es compatible con las CPU de los sistemas.
Los módulos de núcleo que se ejecutan en el dominio de control para configurar el hipervisor.
Los módulos de núcleo y los daemons que se ejecutan en los dominios de E/S y los dominios de servicio para proporcionar E/S virtualizada, y los módulos de núcleo que se comunican por medio de canales de dominio lógico (LDC).
Los módulos de núcleo y los controladores de dispositivos que se ejecutan en los dominios invitados para acceder a dispositivos de E/S virtualizados y los módulos de núcleo que se comunican por medio de los LDC.
Un atacante puede usurpar los dominios invitados o todo el sistema vulnerando el entorno de tiempo de ejecución aislado que proporciona el hipervisor. Potencialmente, esta amenaza puede causar los daños más graves en el sistema.
El diseño de un sistema modular puede mejorar el aislamiento mediante el otorgamiento de diferentes niveles de privilegios a los dominios invitados, el hipervisor y el dominio de control. Cada módulo funcional se implementa en un módulo de núcleo, controlador de dispositivo o daemon configurable e independiente. Esta modularidad requiere API limpias y protocolos de comunicación simples, lo cual reduce el riesgo de errores en general.
Incluso si parece poco probable que se vulnere un error, con los daños potenciales un atacante puede tomar el control de todo el sistema.
Aunque se pueden descargar el firmware del sistema y los parches del sistema operativo directamente desde un sitio web de Oracle, estos parches se pueden manipular. Antes de instalar el software, asegúrese de verificar las sumas de comprobación MD5 de los paquetes de software. Oracle publica las sumas de comprobación de todo el software descargable.
Oracle VM Server for SPARC utiliza varios módulos de núcleo y controladores para implementar la virtualización general del sistema. Los módulos de núcleo y la mayoría de los archivos binarios que se distribuyen con el SO Oracle Solaris incluyen una firma digital. Utilice la utilidad elfsign para comprobar la firma digital de cada módulo de núcleo y controlador. Puede utilizar el comando pkg verify de Oracle Solaris 11 para comprobar la integridad del archivo binario de Oracle Solaris . Consulte https://blogs.oracle.com/cmt/entry/solaris_fingerprint_database_how_it.
Primero, debe establecer la integridad de la utilidad elfsign. Use la herramienta básica de creación de informes de auditoría (BART) para automatizar el proceso de verificación de firma digital. En Integrating BART and the Solaris Fingerprint Database in the Solaris 10 Operating System, se describe cómo combinar la BART y la base de datos de huellas de Solaris para realizar automáticamente comprobaciones de integridad similares. Aunque la base de datos de huellas se haya discontinuado, los conceptos que se describen en este documento se pueden poner en práctica de un modo similar mediante el uso de elfsign y la BART.