Если пользователь запускает libvirtd внутри док-контейнера, есть ли способ обнаружить виртуальные машины пользователя?

BrianTheLion

05.02.2023, 18:14

Потенциально наивный вопрос, на который я надеюсь контрольные группы специалисты могут быстро ответить:

Предполагая следующее докер рабочий процесс был запущен пользователем Linux Джо, как может система корень пользователь определяет, что виртуальная машина действительно работает?

IMAGE_NAME="Убунту:20.10"
DOCKER_ARGS="--rm -i --привилегированный"

кошка <<"ЕОФ" | докер запустить ${DOCKER_ARGS} ${IMAGE_NAME}
установить -ex
apt-получить обновление
apt-get install -y libvirt0 виртуальный менеджер

libvirtd --демон
виртлогд --демон

вирш список соединений --имя | fgrep по умолчанию || virsh net-start по умолчанию

виртуальная установка \
  --name MyFedora \
  --память 1024 \
  --disk path=/tmp/myFedora.img,размер=10 \
  --network сеть = по умолчанию \
  --os-вариант fedora28 \
  --cdrom /opt/joe/Fedora-Server-dvd-x86_64-34-1.2.iso \
  --noautoconsole \
  --отлаживать

список вирш --все

сон бесконечность

EOF

Учитывая, что libvirtd розетка, которая Джо работает только с контейнером докеров, как корень найти ДжоВМ?

330

0 + 0

связывать

контейнеры

докер

djdomi

05.02.2023, 19:55

я не уверен, но должна быть возможность отрицать субвиртуализацию, так как вначале они использовали lxc, и это можно отрицать

Ответить

A.B

06.02.2023, 20:05

root увидит запущенный процесс qemu-system-x86. (Кстати, возможность запускать докер позволяет стать root на хосте, если только SELinux или AppArmor не предотвратят некоторые из них. Таким образом, joe root означает, что joe должен делать ответственные вещи).

Ответить

BrianTheLion

08.02.2023, 16:30

@A.B Как можно использовать pid процесса qemu-system-x86 для отслеживания и применения политики к виртуальной машине?

Ответить

A.B

08.02.2023, 16:33

Вы должны объяснить в вопросе, какую проблему вы собираетесь решить. В противном случае это может стать проблемой XY: https://xyproblem.info.

Ответить

BrianTheLion

08.02.2023, 16:50

@A.B Мой комментарий носил риторический характер. Дело в том, что -- если только `qemu-system-x86` не является особым; и это может быть, idk - наличие pid обычно не говорит нам очень много о том, что может скрываться за pid, если только не существует жизнеспособного механизма для обратного поиска в пространстве приложения.

Ответить

Admin

Этот вопрос на других языках:

EN: If a user runs libvirtd inside a docker container, is there any way to discover the user's VMs?

TH: หากผู้ใช้เรียกใช้ libvirtd ภายในคอนเทนเนอร์นักเทียบท่า มีวิธีใดบ้างที่จะค้นพบ VM ของผู้ใช้

RO: Dacă un utilizator rulează libvirtd într-un container docker, există vreo modalitate de a descoperi VM-urile utilizatorului?

RU: Если пользователь запускает libvirtd внутри док-контейнера, есть ли способ обнаружить виртуальные машины пользователя?

VI: Nếu người dùng chạy libvirtd bên trong bộ chứa docker, có cách nào để khám phá máy ảo của người dùng không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.