Dacă un utilizator rulează libvirtd într-un container docker, există vreo modalitate de a descoperi VM-urile utilizatorului?

BrianTheLion

05.02.2023, 18:14

Întrebare potențial naivă la care sper cgrupuri experții pot răspunde rapid:

Presupunând următoarele docher fluxul de lucru a fost rulat de utilizatorul Linux joe, cum poate sistemul rădăcină utilizatorul stabilește că o VM rulează într-adevăr?

IMAGE_NAME="ubuntu:20.10"
DOCKER_ARGS="--rm -i --privilegiat"

pisica <<"EOF" | rulați docker ${DOCKER_ARGS} ${IMAGE_NAME}
set -ex
apt-get update
apt-get install -y libvirt0 virt-manager

libvirtd --daemon
virtlogd --daemon

virsh net-list --nume | fgrep implicit || virsh net-start implicit

virt-install \
  --name MyFedora \
  --memorie 1024 \
  --disk path=/tmp/myFedora.img,size=10 \
  --network network=implicit\
  --os-variant fedora28 \
  --cdrom /opt/joe/Fedora-Server-dvd-x86_64-34-1.2.iso \
  --noautoconsole \
  --depanare

lista virsh --toate

somn infinit

EOF

Având în vedere că libvirtd priză care joe împotriva rulează există doar în interiorul containerului docker, cum se întâmplă rădăcină găsi joeVM-ul lui?

330

0 + 0

lega

containere

docher

djdomi

05.02.2023, 19:55

nu sunt sigur, dar ar trebui să fie posibil să respingem subvirtualizarea, deoarece la început au folosit lxc și este posibil să negăm asta

Răspunde

A.B

06.02.2023, 20:05

root va vedea procesul qemu-system-x86 rulând. (Btw, abilitatea de a rula docker permite să devină root pe gazdă, cu excepția cazului în care SELinux sau AppArmor împiedică o parte din asta. așa că joe root înseamnă că Joe este de așteptat să facă lucruri responsabile).

Răspunde

BrianTheLion

08.02.2023, 16:30

@A.B Cum poate fi folosit pid-ul procesului `qemu-system-x86` pentru a urmări și aplica politica la VM?

Răspunde

A.B

08.02.2023, 16:33

Ar trebui să explicați în întrebare care este problema pe care intenționați să o rezolvați. În caz contrar, aceasta poate deveni o problemă XY: https://xyproblem.info .

Răspunde

BrianTheLion

08.02.2023, 16:50

@A.B Comentariul meu a fost de natură retorică. Ideea este că -- cu excepția cazului în care `qemu-system-x86` este special; și poate fi, idk -- a avea pid nu ne spune în general prea multe despre ce s-ar putea ascunde în spatele pid-ului, dacă nu există un mecanism viabil pentru căutarea inversă în spațiul aplicației.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: If a user runs libvirtd inside a docker container, is there any way to discover the user's VMs?

TH: หากผู้ใช้เรียกใช้ libvirtd ภายในคอนเทนเนอร์นักเทียบท่า มีวิธีใดบ้างที่จะค้นพบ VM ของผู้ใช้

RO: Dacă un utilizator rulează libvirtd într-un container docker, există vreo modalitate de a descoperi VM-urile utilizatorului?

RU: Если пользователь запускает libvirtd внутри док-контейнера, есть ли способ обнаружить виртуальные машины пользователя?

VI: Nếu người dùng chạy libvirtd bên trong bộ chứa docker, có cách nào để khám phá máy ảo của người dùng không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.