PVE CPU 类型选择 host 会提高虚拟化逃逸的风险吗？

关注

会确实是会，但这个机率已经低到近乎是 0 了。比如前年 intel cpu 的 漏洞，就可以发生你担忧的事情。利用 host cpu 的指令转换来 提升攻击的特权，这个在 20 多年前的 CIH 病毒植入到 BIOS 就在用了。

但仍然还是要说，这个机率实在太低了，比如 intel cpu 早就发布了补丁，操作系统的 security 升级自动就套用了（不过 PVE 用户好像一般不太升级）。

pve 新版本已经默认打了幽灵熔断补丁

@bao3 #2 如果不使用 host 类型就不能利用这些 CPU 漏洞了么？感觉 CPU 预测执行还是比较危险的，例如前两个月刚曝出来的 Retbleed 漏洞（小道消息说 3 年多前就被发现了，被 CPU 厂商要求封口）

如果是个人使用或者小公司使用都不用担心这些事情，没人用核弹来打猎。多考虑一下弱口令更有现实意义

@edis0n0 如果不指定成 host ，虚拟化是在内核的特定空间内执行指令，没人保证如果内核泄漏了，虚拟终端会不会提权，影响安全。
这些可能都有，甚至也发生过，但都接近于 0 的机率。在这样的机率下去讨论问题，除非你是用于信息极度敏感行业，否则是无意义的。

我使用 pve ，图的就是方便初始化 vm 的，反正有啥没搞好的，直接删掉恢复快照，host 上也没什么重要的东西。包括 vps 的机器也是一样，被攻击了，我就重装一下，都是 docker 容器，恢复起来非常快。真正有价值的数据，自己注意一下，并不容易损失。

这个 host 类型具体是啥效果？我猜就是透传 cpuid ，允许物理 cpu 的所有 feature 。如果是这样那就没啥已知安全问题，和受不受侧信道攻击无关。

@ihciah #8 如果不透传 cpuid ，虚拟机内的恶意程序还能访问这些可能存在漏洞的 cpu feature 吗？

pve 发生了一次 io 问题之后，强制关机，就再也没有起来过，感觉有点不敢用啊。

我记得 host 的主要影响是，如果你要热迁移 vm 的话，就只能迁移到相同或十分接近的 cpu 型号的机器上，安全性影响没那么大，除非漏洞只存在于特定的 cpu feature ，不然选成啥都不会对安全性有影响

@edis0n0 这个不太了解细节，我猜
1. 敏感指令应该是一个预定义的集合，不会因为用户的特殊配置而导致非敏感指令触发 VM_EXIT 。
2. 部分依赖 sreg 开启的特性应该可以控制。
有人解答下吗？