Názor k článku OpenSSH obsahuje chybu umožňující ukrást klientské klíče od Sten - KVM je podpora HW virtualizace v kernelu. Pro běh...

KVM je podpora HW virtualizace v kernelu. Pro běh pořád potřebuje userspace hostitele, nejčastěji QEMU. To klidně můžete spustit pod omezeným uživatelem a osekat přes AppArmor. Obě CVEčka se týkají právě QEMU (a Xenu).

Paravirtualizaci věříte víc než linuxovému jádru? Kde myslíte, že ta paravirtualizace běží?

Třeba OpenVZ má tak každý rok nějakou escape vulnerability. A to s ním ani nefunguje AppArmor a user namespacy.

LXC oficiálně prohlašuje, že není bezpečné. V AppArmoru ani SELinuxu pro něj nemůžete plošně zakázat přístup do /proc a /sys, jinak spousta věcí ve virtuálu přestane fungovat (protože /proc a /sys sdílí). /proc a /sys je sice mountované read-only, ale to se dá jedním remountem zevnitř virtuálu změnit.

Xen taky nemá zrovna málo CVEček. Ale alespoň jde docela dobře ořezat přes AppArmor nebo SELinux.