selinux 究竟适不适合应用到云平台，请各位老师出来交流下！！

zhunxun

前段时间在论坛上也对selinux做了某些提问，感谢各位老师的鼎力协助，那么现在小弟有一个问题，selinux究竟适不适合应用到云平台（重点在通过sVIrt保证虚拟机之间的隔离）！！

beyondfly

对性能会有一定的损耗，毕竟在DAC 以后还多了一个MAC来判断，只要老板点头，那就是大胆的试吧，我以前有做过这方面的工作。

zhunxun

求引导啊老师，现在我主要是想利用使用selinux+sVirt对虚拟机之间的隔离、根据某些情况划分的域内资源共享，域间资源限制等等，还要考虑虚拟机在不同节点迁移的问题。
老师觉得这些需求是否可行？？但就迁移来说，我们要保证迁移前后访问控制策略的一致性，那就意味着底层策略和Vm标签的一致性，这种情况能否得到保证呢？？还请老师指点下





回复 2# beyondfly


   

zhunxun

老师，请教一个问题，现在我们给每个租户划分为一个可信安全域，租户的虚拟机可能位于不同的物理节点，一方面我们在网络层通过OVS划分网络安全域，满足某些特定的安全需求，但是在底层，虚拟机的层面，是否还能找到其他的需求需要通过selinux+sVIrt来保证。
虚拟机隔离是一个大的层面，我们是否可以考虑同一租户的VM可能会共享某些资源（这点个人感觉VM之间资源的共享一般都是通过网络，不通过网络的还真没有想到），还请老师指点下

















回复 3# zhunxun


   

nswcfd

请教一下，selinux怎么用于多租户的隔离？在隔离什么？selinux应用于每个vm里面，还是应用在vmm/supervisor层面？

nswcfd

完全没有云安全/selinux的背景，问题可能很幼稚，勿怪。

zhunxun

其实也不幼稚，我也是初学者，但是根据我对selinux以及sVIrt的了解，selinux本身就是应用到单台主机上的，而把selinux应用到云环境下，初步想法也是限制对同一租户的虚拟机访问资源的权限做限制（听起来似乎也说得过去），只是我不太明白，虚拟机在运行期间除了自己的镜像文件还可能访问哪些宿主机的资源，设备文件不应该都是同一台物理机上所有虚拟机共享的么，这点仁兄如果知道，还请指教！！

对于租户之间的隔离感觉还是只能通过网络层面。






回复 5# nswcfd


   

nswcfd

sVirt没了解过，不太清楚在尝试解决什么问题，能给个大概的描述么？

nswcfd

找到一份需求描述 http://selinuxproject.org/page/Svirt_requirements_v1.0

nswcfd

还是有很强的需求背景的，感觉更多的侧重在于对host的保护