这是 virtfs-proxy-helper 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
virtfs-proxy-helper - QEMU 9p virtfs 代理文件系统助手
概要
用法:virtfs-proxy-helper 选项
商品描述
QEMU 9p 服务器中的 Pass-through 安全模型需要 root 权限来处理少量文件
操作(如 chown、chmod 到任何模式/uid:gid)。 有两个问题在pass-
通过安全模型
1) TOCTTOU 漏洞:通过服务器中的符号链接可以提供访问
到超过 9p 导出路径的文件。
2) 以 root 权限运行 QEMU 可能是一个安全问题。
为了克服上述问题,使用了以下方法:一种新的文件系统类型“代理”是
介绍。 Proxy FS 使用 chroot + socket 组合来保护漏洞
已知以下符号链接。 添加新文件系统类型的目的是
允许 qemu 在非 root 模式下运行,但使用套接字 IO 进行特权操作。
代理助手(qemu 的独立二进制部分)以 root 权限调用。 代理
helper chroots 到 9p 导出路径并创建一个套接字对或基于命名的套接字
在命令行参数上。 QEMU 和代理助手使用此套接字进行通信。
QEMU 代理 fs 驱动程序向代理助手发送文件系统请求并接收
来自它的回应。
代理助手的设计使其可以在保留root权限的同时删除root权限
仅执行文件系统操作所需的能力。
配置
支持以下选项:
-h 显示帮助并退出
-p|--路径 径
代理文件系统驱动程序的导出路径
-f|--fd 套接字标识
使用给定的文件描述符作为套接字描述符与 qemu 代理 fs 通信
更干燥。 通常像 libvirt 这样的助手会创建 socketpair 并将 fds 之一作为
-f|--fd 的参数
-s|--套接字 套接字文件
创建命名套接字文件以与 qemu 代理 fs 驱动程序通信
-u|--uid 的uid -g|--gid GID
uid:gid 组合以访问命名的套接字文件
-n|--节点守护进程
作为普通程序运行。 默认情况下,程序将以守护进程模式运行
使用 onworks.net 服务在线使用 virtfs-proxy-helper
