virtfs-proxy-helper - ออนไลน์ใน Cloud

โครงการ:

ชื่อ

virtfs-proxy-helper - QEMU 9p virtfs ตัวช่วยระบบไฟล์พร็อกซี

เรื่องย่อ

การใช้งาน: virtfs-proxy-helper options

DESCRIPTION

โมเดลความปลอดภัยแบบพาส-ทรูในเซิร์ฟเวอร์ QEMU 9p ต้องการสิทธิ์รูทเพื่อทำไฟล์ไม่กี่ไฟล์
การดำเนินการ (เช่น chown, chmod ไปยังโหมดใดก็ได้/uid:gid) มีสองประเด็นในการผ่าน -
ผ่านรูปแบบการรักษาความปลอดภัย

1) ช่องโหว่ของ TOCTTOU: การติดตามลิงก์สัญลักษณ์ในเซิร์ฟเวอร์อาจทำให้เข้าถึงได้
ไปยังไฟล์ที่อยู่นอกเส้นทางการส่งออก 9p

2) การเรียกใช้ QEMU ด้วยสิทธิ์รูทอาจเป็นปัญหาด้านความปลอดภัย

เพื่อแก้ไขปัญหาข้างต้น ใช้วิธีการต่อไปนี้: ระบบไฟล์ใหม่ประเภท 'พร็อกซี' is
แนะนำ Proxy FS ใช้ chroot + socket เพื่อรักษาความปลอดภัยให้กับช่องโหว่
รู้จักกับลิงก์สัญลักษณ์ต่อไปนี้ ความตั้งใจที่จะเพิ่มประเภทระบบไฟล์ใหม่คือเพื่อ
อนุญาตให้ qemu ทำงานในโหมดที่ไม่ใช่รูท แต่ดำเนินการพิเศษโดยใช้ซ็อกเก็ต IO

ตัวช่วยพร็อกซี (ส่วนไบนารีแบบสแตนด์อโลนของ qemu) ถูกเรียกใช้ด้วยสิทธิ์ของรูท พร็อกซี่
ตัวช่วย chroots เป็นเส้นทางการส่งออก 9p และสร้างคู่ซ็อกเก็ตหรือซ็อกเก็ตที่มีชื่อ
บนพารามิเตอร์บรรทัดคำสั่ง QEMU และผู้ช่วยพร็อกซีสื่อสารโดยใช้ซ็อกเก็ตนี้
ไดรเวอร์ QEMU proxy fs ส่งคำขอระบบไฟล์ไปยัง proxy helper และรับ
การตอบสนองจากมัน

ตัวช่วยพร็อกซีได้รับการออกแบบเพื่อให้สามารถลบสิทธิ์รูทด้วยการรักษา
ความสามารถที่จำเป็นสำหรับการดำเนินการระบบไฟล์เท่านั้น

OPTIONS

รองรับตัวเลือกต่อไปนี้:

-h แสดงวิธีใช้และออก

-p|--เส้นทาง เส้นทาง
เส้นทางที่จะส่งออกสำหรับไดรเวอร์ระบบไฟล์พร็อกซี

-f|--fd รหัสซ็อกเก็ต
ใช้ file descriptor ที่กำหนดเป็น socket descriptor สำหรับการสื่อสารกับ qemu proxy fs
เครื่องอบแห้ง โดยปกติผู้ช่วยเช่น libvirt จะสร้าง socketpair และส่งหนึ่งใน fds as
พารามิเตอร์เป็น -f|--fd

-s|--ซ็อกเก็ต ไฟล์ซ็อกเก็ต
สร้างชื่อไฟล์ซ็อกเก็ตสำหรับการสื่อสารกับไดรเวอร์ qemu proxy fs

-u|--uid UID -g|--gid กิด
uid:gid รวมกันเพื่อให้เข้าถึงไฟล์ socket ที่มีชื่อ

-n|--โนดาเอมอน
เรียกใช้เป็นโปรแกรมปกติ โดยค่าเริ่มต้นโปรแกรมจะทำงานในโหมดภูต

ใช้ virtfs-proxy-helper ออนไลน์โดยใช้บริการ onworks.net