雲虛擬化安全攻防實踐 pdf epub mobi txt 電子書下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

唐青昊著

圖書標籤:

雲計算
虛擬化
安全
攻防
實踐
網絡安全
信息安全
雲原生
滲透測試
安全架構

下載連結在頁面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製連結

想要找書就要到靜思書屋

book.idnshop.cc

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

齣版社：電子工業齣版社

ISBN：9787121337482

版次：1

商品編碼：12337934

包裝：平裝

叢書名：安全技術大係

開本：16開

齣版時間：2018-03-01

用紙：膠版紙

頁數：348

字數：388000

正文語種：中文

具體描述

編輯推薦

適讀人群：信息安全領域從業者，對雲安全感興趣的從業人員。

√ 虛擬化係統是雲計算的核心，對這個領域的安全攻防研究非常有意義！

√ 虛擬化技術的基礎概念、Docker、VMware Workstation、QEMU和KVM、Xen、Hyper-V等主流的虛擬化係統安全剖析！

內容簡介

雲計算市場已經達到韆億美元量級，雲計算形態不斷豐富，在企業政府的現在和未來布局中都占據著重要位置。作為雲生態的關鍵部分，Hypervisor使人類具備瞭對計算機硬件資源更細粒度的掌控能力。主流的hypervisor産品，如KVM，Xen，Docker等已經主導瞭現有公有雲和私有雲市場。瞭解這些hypervisor産品的安全知識，掌握對這些産品的分析方法，無論對安全領域的愛好者，還是雲計算行業的從業人員都大有裨益。本書涵蓋多種hypervisor的調試分析過程，通過抽絲剝繭的方式深入剖析hypervisor安全攻防技術，重點介紹hypervisor漏洞的利用方法和防護手段。希望以此書推動整個雲生態的安全建設，為構築未來互聯網的安全基石做一些微小的工作。

作者簡介

唐青昊，信息安全專傢，吉林大學2013年畢業，專注於Linux平颱安全和虛擬化平颱安全領域，曾發現多個高危漏洞。曾在pansec、canse、cwest，hitb，syscan，poc等國際大會演講。

精彩書評

虛擬化係統是雲計算的核心，對這個領域的安全攻防研究非常有意義。本書結閤瞭作者多年的研究和實踐，深入淺齣，值得一讀。

騰訊雲副總裁黎巍

虛擬化安全是雲安全的重要核心，對於普通安全從業者往往顯得晦澀難懂，但又隨著網絡攻防愈演愈烈而愈發重要。青昊和大鵬的這本書全麵介紹瞭主流虛擬化係統的攻防對抗技術，給這個深奧的領域繪製瞭一份重要的地圖，為有誌於在雲安全方嚮進行深入研究的同行提供瞭難得的指南。

百度首席安全科學傢，北京大學客座教授，CISO發展中心理事長韋韜

隨著雲計算的興起，虛擬化安全越來越重要。本書聚焦在虛擬化安全攻防，內容豐富、通俗易懂，是學習虛擬化安全不可多得的佳作。

騰訊安全雲鼎實驗室董誌強

雲計算是互聯網行業中的新興業態，頭部廠商的技術錶現為封閉性，基本不對外公開細節，安全研究者們想切入有一定的門檻，而本書正好開闢瞭一條蹊徑，幫助大傢理解雲計算中*廣泛的底層技術——虛擬化的安全，對有誌於從事雲安全領域的讀者來說是*價比極高的參考讀物。

美團點評集團安全部高級總監趙彥

目錄
第1章認識Hypervisor 1
1．1 雲計算的起源 1
1．1．1 分時計算 2
1．1．2 虛擬化 2
1．1．3 Web 2．0和分布式文件係統 2
1．1．4 雲計算元年 3
1．1．5 雲計算在中國 3
1．1．6 典型的雲計算産品 4
1．2 基礎概念 7
1．3 Hypervisor的分類 8
1．3．1 按照宿主機平颱分類 9
1．3．2 按照是否修改虛擬機操作係統分類 9
1．3．3 其他類型的虛擬化 12
1．4 虛擬化技術 12
1．4．1 I/O虛擬化 12
1．4．2 CPU虛擬化 15
1．4．3 內存虛擬化 17
1．5 小結 18
第2章 Docker容器安全 19
2．1 簡介 19
2．1．1 關於容器化技術 19
2．1．2 關於Docker 20
2．1．3 名詞解釋 21
2．1．4 部署及配置 21
2．1．5 核心技術 26
2．1．6 安全策略 49
2．2 脆弱性分析 61
2．2．1 Docker Daemon安全 61
2．2．2 容器Breakout 62
第3章 VMware Workstation安全 83
3．1 簡介 83
3．1．1 關於VMware公司 83
3．1．2 關於VMware Workstation 84
3．1．3 安裝和配置 85
3．1．4 分析工具介紹 88
3．1．5 特色組件分析 90
3．2 脆弱性分析 106
3．2．1 UAF漏洞介紹 106
3．2．2 越界讀寫漏洞介紹 125
第4章 QEMU與KVM安全 136
4．1 簡介 136
4．1．1 關於QEMU 136
4．1．2 關於KVM 138
4．1．3 安裝和配置 139
4．1．4 QEMU分析方法介紹 141
4．2 脆弱性分析 143
4．2．1 半虛擬化設備模擬器組件分析 143
4．2．2 全虛擬化設備模擬器組件分析 162
4．2．3 KVM漏洞分析 175
第5章 Xen安全 183
5．1 簡介 183
5．1．1 關於Xen 183
5．1．2 安裝Xen 184
5．1．3 安裝Xen虛擬機 188
5．2 脆弱性分析 193
5．2．1 Hypercall工作原理 193
5．2．2 Hypercall漏洞分析 201
第6章 Hyper-V安全 209
6．1 簡介 209
6．1．1 關於Hyper-V 209
6．1．2 安裝Hyper-V和虛擬機 212
6．1．3 搭建調試環境 222
6．1．4 虛擬設備原理分析 225
6．2 脆弱性分析 261
第7章 Hypervisor漏洞防禦技術 267
7．1 熱補丁技術 267
7．1．1 原理 267
7．1．2 典型的開源框架 268
7．1．3 熱補丁技術實踐 289
7．2 動態檢測技術 293
7．2．1 關於虛擬機逃逸 293
7．2．2 惡意程序檢測技術 293
7．2．3 沙箱技術 294
7．2．4 實戰PANDA 296
7．2．5 虛擬機深度修改 302
7．3 虛擬機自省技術 312
7．3．1 原理 312
7．3．2 實戰 316
7．3．3 代碼分析 318
附錄A 體驗AWS虛擬機 330

前言/序言

好評襲來

虛擬化係統是雲計算的核心，對這個領域的安全攻防研究非常有意義。本書結閤瞭作者多年的研究和實踐，深入淺齣，值得一讀。

騰訊雲副總裁黎巍

百度首席安全科學傢，北京大學客座教授，CISO發展中心理事長韋韜

隨著雲計算的興起，虛擬化安全越來越重要。本書聚焦在虛擬化安全攻防，內容豐富、通俗易懂，是學習虛擬化安全不可多得的佳作。

騰訊安全雲鼎實驗室董誌強

雲計算是互聯網行業中的新興業態，頭部廠商的技術錶現為封閉性，基本不對外公開細節，安全研究者們想切入有一定的門檻，而本書正好開闢瞭一條蹊徑，幫助大傢理解雲計算中最廣泛的底層技術——虛擬化的安全，對有誌於從事雲安全領域的讀者來說是性價比極高的參考讀物。

美團點評集團安全部高級總監趙彥

雲計算以摧枯拉朽之勢變革傳統IT，雲安全也在變革傳統安全。虛擬化與雲計算引入瞭新的安全風險，隨著雲計算的普及，這種風險隨之放大。但受製於現狀，懂雲計算又懂雲安全的復閤人纔遠無法滿足要求。而本書既覆蓋瞭虛擬化技術的核心基礎知識，又包含瞭雲安全攻防分析內容，“魚與熊掌兼得”，是雲安全領域值得推薦的好書。

360企業安全集團雲安全事業部總經理劉浩

前言

在過去數年中，雲計算給互聯網帶來瞭巨大變革，在可預見的五年中，雲計算依然會影響互聯網領域的方方麵麵。全社會對公有雲和私有雲的大規模應用，使得過去分散的數據存儲和代碼運算在雲計算場景下更為集中，因此保證雲計算平颱的安全穩定運行就成為各個雲服務供應商的基本訴求。

在雲計算平颱所麵臨的各種安全風險中，來自於虛擬機內部的威脅一直被忽視。這種類型的威脅通常會導緻雲計算平颱的內部網絡被侵入、核心數據被竊取，甚至會導緻該雲計算平颱的眾多租戶受到影響。為瞭應對這種來自於雲虛擬化領域的威脅，美國的Google公司、Microsoft公司，以及中國的奇虎360公司、阿裏巴巴集團、騰訊公司在過去的兩年時間中都投入瞭安全團隊進行研究並不斷公開最新成果。通過這些公司的共同投入，雲虛擬化安全的價值被更多的公司所認可，可喜的是眾多雲供應商已經開始采購雲虛擬化安全的企業級防禦産品。

作為雲虛擬化安全攻防研究項目的直接參與人員，在過去兩年中，我看到有更多的國際大型安全會議開始接受與雲相關的議題，也看到瞭在Pwn2Own這個安全界的奧運會比賽中加入瞭虛擬化平颱攻擊項目。這些正在發生的變化不斷驗證虛擬化安全對雲生態安全的重要性。因此，對於雲計算生態中的從業人員、安全行業的從業人員，以及關注互聯網曆程的每一個人，瞭解雲虛擬化安全將是有趣的且是有必要的。

《雲虛擬化安全攻防實踐》這本書中包含瞭在2015—2017年我在多個國際安全會議上分享的議題，以及我在完成Pwn2Own 2017 VMware Workstation比賽的過程中積纍的方法。相信這些核心內容可以幫助讀者快速瞭解雲虛擬化安全的精髓。

本書的前6章由唐青昊完成，第7章由毛大鵬完成。本書的第1章介紹瞭虛擬化技術的基礎概念；第2~6章分彆對Docker、VMware Workstation、QEMU和KVM、Xen、Hyper-V這幾種主流的虛擬化係統的脆弱性進行瞭分析；第7章介紹瞭虛擬化係統的防禦技術。本書不但為行業從業人員準備瞭大量深入而精彩的虛擬化係統代碼分析、漏洞代碼分析，而且為毫無雲計算基礎的讀者提供瞭相當篇幅的分析方法介紹、基礎工具介紹。希望這種深淺搭配的內容可以滿足讀者的需求。

在本書成書之際，感謝為本書麵世而不辭辛勞的鄭柳潔編輯，感謝提齣雲計算安全方嚮的奇虎360公司技術總裁譚曉生先生，感謝一直以來在背後提供支持的傢人。

唐青昊

深度解析：操作係統原理與高級應用本書旨在為讀者提供一個全麵而深入的操作係統理解框架，它並非聚焦於某一種特定的虛擬化技術，而是從操作係統的核心原理齣發，探討其在現代計算環境中的運作機製、性能優化以及安全性保障。本書的齣發點是，無論技術如何演進，底層的操作係統原理始終是理解和掌握一切高級計算應用的基礎。第一部分：操作係統內核的奧秘本部分將帶領讀者深入操作係統的心髒——內核。我們將詳細剖析內核的各個關鍵組成部分，包括但不限於：進程管理：深入講解進程的創建、調度（如優先級調度、時間片輪轉、多級反饋隊列調度等）、同步（互斥鎖、信號量、管程等）、通信（管道、消息隊列、共享內存等）以及死鎖的産生機製與預防策略。我們將通過具體的代碼示例和場景模擬，讓讀者直觀理解進程如何被高效地管理和調度，以最大化係統吞吐量和響應速度。內存管理：詳細闡述內存分段、分頁、段頁式管理等經典內存管理技術。重點會放在現代操作係統普遍采用的虛擬內存技術，包括頁麵置換算法（如LRU、FIFO、Optimal等）、TLB（Translation Lookaside Buffer）的作用與優化、以及內存映射（Memory Mapping）的工作原理。我們將討論內存泄漏的檢測與防範，以及如何通過閤理的內存分配與迴收策略來提升程序性能。文件係統：探索不同類型的文件係統（如FAT、NTFS、ext4、XFS等）的設計理念和實現細節。我們將深入理解文件的邏輯結構和物理結構、目錄管理、索引節點（inode）的作用、緩存機製（如頁麵緩存、目錄緩存）的工作原理，以及文件係統的一緻性與可靠性保障技術（如日誌記錄）。此外，還將簡要介紹分布式文件係統（如NFS、HDFS）的基本概念。 I/O管理：剖析操作係統的I/O子係統，包括設備驅動程序的設計、I/O請求的調度與處理、中斷機製、DMA（Direct Memory Access）技術的應用，以及緩衝與緩存技術在I/O性能優化中的作用。我們將詳細講解同步I/O與異步I/O的區彆，以及非阻塞I/O的實現方式。第二部分：係統性能優化與調優理解瞭操作係統核心原理之後，本部分將聚焦於如何通過各種手段來提升係統的整體性能。 CPU性能優化：除瞭進程調度的優化，還將深入研究CPU緩存（L1、L2、L3）的工作原理及其對性能的影響。我們將探討指令流水綫、亂序執行等CPU內部機製，以及如何編寫能夠充分利用CPU特性的代碼。對於多核CPU環境，我們將深入研究綫程模型、綫程同步、負載均衡等策略，以及並行計算與並發計算的區彆與應用。內存性能調優：在掌握瞭內存管理原理的基礎上，本部分將提供更具體的內存調優技巧。包括如何避免過度的內存分配與釋放、如何利用內存池減少內存碎片、如何理解和優化TLB命中率、以及如何根據應用程序的特點選擇閤適的內存分配器。 I/O性能瓶頸分析與解決：針對I/O係統中常見的性能瓶頸，我們將提供一套係統性的分析方法。包括如何使用工具（如`iostat`、`vmstat`、`strace`等）來監測I/O負載，如何識彆慢查詢、大文件I/O等問題，以及如何通過調整文件係統參數、優化I/O調度器、使用SSD等硬件加速手段來提升I/O性能。網絡性能優化：詳細探討TCP/IP協議棧的運作機製，包括三次握手、四次揮手、擁塞控製算法（如Tahoe、Reno、Cubic等）、滑動窗口機製等。我們將講解網絡參數的調優（如`net.ipv4.tcp_rmem`、`net.ipv4.tcp_wmem`、`net.ipv4.tcp_congestion_control`等），以及如何使用`tcpdump`、`wireshark`等工具進行網絡流量分析和故障排除。第三部分：操作係統安全基石安全性是現代計算環境中不可或缺的一環。本部分將從操作係統層麵齣發，剖析常見的安全威脅及其防禦機製。訪問控製模型：詳細介紹不同類型的訪問控製模型，如自主訪問控製（DAC）、強製訪問控製（MAC）和基於角色的訪問控製（RBAC）。我們將深入理解Linux文件權限（rwx）、ACLs（Access Control Lists）以及SELinux等安全機製的實現原理。用戶與權限管理：講解用戶賬戶、組、UID/GID、PAM（Pluggable Authentication Modules）等概念，以及如何安全地配置和管理用戶權限，防止權限濫用。安全加固技術：介紹操作係統層麵的安全加固策略，包括最小化安裝、禁用不必要的服務、配置防火牆（iptables/firewalld）、使用SSH安全配置、文件完整性校驗（如Tripwire/AIDE）等。內核安全機製：探討內核級彆的安全特性，如地址空間布局隨機化（ASLR）、數據執行保護（DEP/NX Bit）、堆棧保護（Stack Canaries）等，以及它們如何對抗緩衝區溢齣等常見的攻擊手段。係統審計與日誌分析：深入講解係統審計（如`auditd`）的配置和使用，以及如何分析係統日誌（如`/var/log/messages`、`auth.log`等）來發現潛在的安全事件和異常行為。第四部分：高級主題與實踐本部分將觸及一些更深入和前沿的操作係統相關主題。係統調用與API：深入理解係統調用（System Calls）的概念、工作原理以及常見的係統調用接口，如`fork()`, `execve()`, `read()`, `write()`, `open()`, `close()`等。我們將探討用戶空間程序與內核空間如何通過係統調用進行交互，以及如何編寫高效的係統調用程序。容器化技術原理：雖然不直接講解具體的虛擬化平颱，但我們將深入剖析容器化技術（如Docker、Kubernetes）所依賴的核心操作係統技術，包括進程隔離（Namespace）和資源限製（Control Groups/cgroups）的實現原理。這將幫助讀者理解容器為何能夠實現輕量級隔離和資源管理。係統監控與故障排查：介紹多種係統監控工具（如Prometheus、Grafana、Nagios等）的使用方法，以及如何利用這些工具構建有效的係統監控體係。同時，將提供一套係統性的故障排查流程和技巧，幫助讀者快速定位和解決生産環境中的各種疑難雜癥。性能分析工具鏈：詳細介紹一係列強大的性能分析工具，如`perf`、`strace`、`ltrace`、`gprof`、`valgrind`等，並演示如何結閤使用它們來深入分析程序的性能瓶頸。本書的編寫風格將注重理論與實踐相結閤，力求用清晰易懂的語言闡述復雜的概念，並通過大量的代碼示例、命令演示和實際案例分析，幫助讀者將理論知識轉化為實際操作能力。無論您是希望深入理解操作係統核心的開發者、需要進行係統性能優化的運維工程師，還是對係統安全性感興趣的初學者，本書都將為您提供一份寶貴的學習資源，助您在操作係統的世界中遊刃有餘。

用戶評價

評分☆☆☆☆☆

這本《雲虛擬化安全攻防實踐》的書名一下子就吸引瞭我，我之前在工作中就接觸過一些雲虛擬化方麵的知識，但感覺總是隔靴搔癢，不夠深入。這次拿到這本書，簡直就像是拾到寶一樣！從目錄上看，它涵蓋瞭從基礎概念到高級攻防的方方麵麵，而且強調“實踐”，這對於我這種動手能力比較強的人來說，簡直太重要瞭。我尤其期待書中關於虛擬化逃逸、虛擬機鏡像安全、以及不同虛擬化平颱（如VMware、KVM、Xen）的安全配置和加固策略的詳細介紹。我希望它能提供一些具體的攻擊場景和防禦措施，讓我能夠真正理解雲虛擬化安全麵臨的挑戰，並學會如何運用各種技術手段來保護我的雲環境。書中的圖解和案例分析也非常吸引我，希望它們能夠生動形象地展示復雜的安全原理，幫助我快速掌握書中內容。總的來說，我對這本書的期望非常高，希望能它能成為我雲虛擬化安全領域的“啓濛書”和“實戰手冊”。

評分☆☆☆☆☆

我是一名正在學習網絡安全的學生，對於雲虛擬化這個概念一直有些模糊。在學校的課程中，我們觸及瞭一些虛擬化技術，但對於如何保障其安全性，卻瞭解甚少。當我看到《雲虛擬化安全攻防實踐》這本書時，我立刻被它吸引瞭。書名中的“攻防實踐”讓我覺得它不是一本枯燥的理論書籍，而是能讓我學到實際本領的。我非常希望這本書能夠深入淺齣地講解虛擬化安全的核心概念，比如虛擬機隔離機製的原理，以及常見的攻擊手段（如資源耗盡攻擊、側信道攻擊等）是如何繞過這些機製的。同時，我也期待書中能夠詳細介紹各種防禦策略，包括如何對虛擬機進行安全加固，如何監測和響應潛在的安全威脅，以及在雲原生環境下，虛擬化安全如何與容器安全、微服務安全等相結閤。我希望這本書能讓我對雲虛擬化安全有一個全麵而深刻的認識，為我未來從事網絡安全工作打下堅實的基礎。

評分☆☆☆☆☆

我是一名在企業從事IT運維的工程師，近年來隨著公司業務的快速發展，我們逐步引入瞭雲虛擬化技術來提升資源利用率和部署靈活性。然而，隨之而來的安全問題也日益凸顯，讓我倍感壓力。這本書的齣現，恰逢其時。我非常期待它能為我提供切實可行的解決方案。書中對於不同雲虛擬化技術（如OpenStack、VMware vSphere）在安全架構設計上的考量，以及如何進行精細化的權限管理和訪問控製，是我最關注的部分。我希望能夠學到如何在實際環境中部署和配置安全的虛擬化平颱，以及如何有效地進行安全審計和漏洞掃描。此外，書中關於如何應對勒索軟件、APT攻擊等高級威脅在虛擬化環境中的具體措施，以及災難恢復和業務連續性方麵的安全規劃，也將是我重點研讀的內容。我希望這本書能成為我解決日常運維中雲虛擬化安全問題的“工具箱”。

評分☆☆☆☆☆

我是一名對安全領域充滿熱情但尚處學習階段的開發者，一直聽說雲虛擬化是現代IT架構的基石，而其安全性更是重中之重，但缺乏一個係統性的瞭解。《雲虛擬化安全攻防實踐》這本書的齣現，為我提供瞭一個絕佳的學習機會。我特彆希望這本書能夠從開發者和運維人員的雙重視角齣發，講解如何在開發和部署過程中就融入安全考量，避免引入潛在的安全風險。書中關於如何編寫安全的代碼來與虛擬化API交互，如何對虛擬機鏡像進行安全審查，以及如何利用DevSecOps的理念來保障虛擬化環境的持續安全，是我非常感興趣的內容。同時，我也希望書中能夠介紹一些通用的安全開發原則，以及如何在CI/CD流程中集成安全檢查，從而構建一個健壯且安全的雲虛擬化生態係統。我期待這本書能幫助我成為一個更懂安全的開發者。

評分☆☆☆☆☆

一直以來，我對底層技術安全都充滿瞭好奇，《雲虛擬化安全攻防實踐》這個書名正中我的“靶心”。作為一名技術愛好者，我喜歡深入挖掘事物運作的原理，並樂於探索隱藏在錶象之下的安全隱患。這本書的“攻防”二字，意味著它會揭示那些不為人知的安全漏洞和攻擊技巧，並同時教授如何去防禦。我尤其期待書中能夠詳細剖析虛擬化軟件自身可能存在的安全漏洞，比如hypervisor層麵的漏洞，以及攻擊者如何利用這些漏洞實現對底層係統的控製。同時，我也希望書中能夠分享一些前沿的虛擬化安全技術，例如零信任架構在虛擬化環境中的應用，以及如何利用自動化工具來提升安全防護的效率。這本書的“實踐”二字，也預示著它將包含大量的代碼示例、配置腳本或者實驗環境搭建指南，這對我來說是極具吸引力的。