Hypervisor 是實作和控制實際硬體之虛擬化的韌體層。Hypervisor 包含下列元件:
實際的 Hypervisor,在韌體中實作並受系統 CPU 支援。
在控制網域中執行以設定 Hypervisor 的核心模組。
在 I/O 網域和服務網域中執行以提供虛擬化 I/O 的核心模組與常駐程式,以及透過邏輯網域通道 (LDC) 通訊的核心模組。
在來賓網域中執行以存取虛擬化 I/O 裝置的核心模組和裝置驅動程式,以及透過 LDC 通訊的核心模組。
攻擊者可能會入侵 Hypervisor 提供的隔離執行階段環境,以劫持來賓網域或整個系統。此威脅可能會對系統造成最嚴重的損害。
模組化系統設計的特色是只要授予不同的權限等級給來賓網域、Hypervisor 和控制網域,就可以改善隔離機制。每個功能模組都會在獨立且可設定的核心模組、裝置驅動程式或常駐程式中實作。此模組需要全新的 API 和簡單的通訊協定,以降低整體的錯誤風險。
即使錯誤造成的破壞機率微乎其微,但這潛在的危害卻可能導致攻擊者控制整個系統。
即使您可以直接透過 Oracle 網站下載系統韌體和作業系統修補程式,這些修補程式還是有可能被竄改。在安裝軟體之前,請確認您已驗證套裝軟體的 MD5 總和檢驗。所有可下載軟體的總和檢驗均是由 Oracle 發行。
Oracle VM Server for SPARC 使用數個驅動程式和核心模組來實作整個虛擬化系統。隨 Oracle Solaris 作業系統發行的所有核心模組和多數二進位檔均含有數位簽章。使用 elfsign 公用程式可檢查每個核心模組和驅動程式的數位簽章。您可以使用 Oracle Solaris 11 pkg verify 指令來檢查 Oracle Solaris 二進位檔的完整性。請參閱 https://blogs.oracle.com/cmt/entry/solaris_fingerprint_database_how_it。
首先,您必須建立 elfsign 公用程式的完整性。使用基本稽核和報告工具 (BART) 可自動化數位簽章驗證程序。Integrating BART and the Solaris Fingerprint Database in the Solaris 10 Operating System 描述如何合併 BART 與 Solaris Fingerprint Database,以自動執行相同的完整性檢查。雖然已不再提供指紋資料庫,但您還是可以運用此文件中描述的概念以同樣的方法使用 elfsign 與 BART。