selinux 究竟適不適合應(yīng)用到云平臺(tái)，請(qǐng)各位老師出來交流下！！

zhunxun

前段時(shí)間在論壇上也對(duì)selinux做了某些提問，感謝各位老師的鼎力協(xié)助，那么現(xiàn)在小弟有一個(gè)問題，selinux究竟適不適合應(yīng)用到云平臺(tái)（重點(diǎn)在通過sVIrt保證虛擬機(jī)之間的隔離）��！

beyondfly

對(duì)性能會(huì)有一定的損耗，畢竟在DAC 以后還多了一個(gè)MAC來判斷，只要老板點(diǎn)頭，那就是大膽的試吧，我以前有做過這方面的工作。

zhunxun

求引導(dǎo)啊老師，現(xiàn)在我主要是想利用使用selinux+sVirt對(duì)虛擬機(jī)之間的隔離、根據(jù)某些情況劃分的域內(nèi)資源共享，域間資源限制等等，還要考慮虛擬機(jī)在不同節(jié)點(diǎn)遷移的問題。
老師覺得這些需求是否可行？？但就遷移來說，我們要保證遷移前后訪問控制策略的一致性，那就意味著底層策略和Vm標(biāo)簽的一致性，這種情況能否得到保證呢？？還請(qǐng)老師指點(diǎn)下





回復(fù) 2# beyondfly


   

zhunxun

老師，請(qǐng)教一個(gè)問題，現(xiàn)在我們給每個(gè)租戶劃分為一個(gè)可信安全域，租戶的虛擬機(jī)可能位于不同的物理節(jié)點(diǎn)，一方面我們?cè)诰W(wǎng)絡(luò)層通過OVS劃分網(wǎng)絡(luò)安全域，滿足某些特定的安全需求，但是在底層，虛擬機(jī)的層面，是否還能找到其他的需求需要通過selinux+sVIrt來保證。
虛擬機(jī)隔離是一個(gè)大的層面，我們是否可以考慮同一租戶的VM可能會(huì)共享某些資源（這點(diǎn)個(gè)人感覺VM之間資源的共享一般都是通過網(wǎng)絡(luò)，不通過網(wǎng)絡(luò)的還真沒有想到），還請(qǐng)老師指點(diǎn)下

















回復(fù) 3# zhunxun


   

nswcfd

請(qǐng)教一下，selinux怎么用于多租戶的隔離？在隔離什么？selinux應(yīng)用于每個(gè)vm里面，還是應(yīng)用在vmm/supervisor層面？

nswcfd

完全沒有云安全/selinux的背景，問題可能很幼稚，勿怪。

zhunxun

其實(shí)也不幼稚，我也是初學(xué)者，但是根據(jù)我對(duì)selinux以及sVIrt的了解，selinux本身就是應(yīng)用到單臺(tái)主機(jī)上的，而把selinux應(yīng)用到云環(huán)境下，初步想法也是限制對(duì)同一租戶的虛擬機(jī)訪問資源的權(quán)限做限制（聽起來似乎也說得過去），只是我不太明白，虛擬機(jī)在運(yùn)行期間除了自己的鏡像文件還可能訪問哪些宿主機(jī)的資源，設(shè)備文件不應(yīng)該都是同一臺(tái)物理機(jī)上所有虛擬機(jī)共享的么，這點(diǎn)仁兄如果知道，還請(qǐng)指教！！

對(duì)于租戶之間的隔離感覺還是只能通過網(wǎng)絡(luò)層面。






回復(fù) 5# nswcfd


   

nswcfd

sVirt沒了解過，不太清楚在嘗試解決什么問題，能給個(gè)大概的描述么？

nswcfd

找到一份需求描述 http://selinuxproject.org/page/Svirt_requirements_v1.0

nswcfd

還是有很強(qiáng)的需求背景的，感覺更多的側(cè)重在于對(duì)host的保護(hù)