Virtfs-proxy-helper - عبر الإنترنت في السحابة

برنامج:

اسم

Virtfs-proxy-helper - مساعد نظام ملفات وكيل QEMU 9p Virtfs

موجز

الاستعمال: خيارات Virtfs-proxy-helper

الوصف

يحتاج نموذج الأمان التمريري في خادم QEMU 9p إلى امتياز الجذر للقيام ببعض الملفات
عمليات (مثل chown ، chmod إلى أي وضع / uid: gid). هناك مشكلتان في المرور
من خلال نموذج الأمان

1) ثغرة TOCTTOU: يمكن أن توفر الروابط الرمزية التالية في الخادم إمكانية الوصول
إلى الملفات التي تتجاوز مسار التصدير 9p.

2) قد يكون تشغيل QEMU بامتياز الجذر مشكلة أمنية.

للتغلب على المشكلات المذكورة أعلاه ، يتم استخدام الأسلوب التالي: نوع ملف جديد "وكيل" هو
أدخلت. يستخدم Proxy FS تركيبة chroot + socket لتأمين الثغرة الأمنية
معروف بالروابط الرمزية التالية. القصد من إضافة نوع نظام ملفات جديد هو
السماح بتشغيل qemu في وضع غير الجذر ، ولكن القيام بعمليات ذات امتياز باستخدام المقبس IO.

يتم استدعاء مساعد الوكيل (جزء ثنائي مستقل من qemu) بامتيازات الجذر. الوكيل
يقطع المساعد في مسار تصدير 9p ويقوم بإنشاء زوج مقبس أو مقبس مسمى
في معلمة سطر الأوامر. يتواصل QEMU ومساعد الوكيل باستخدام هذا المقبس.
يرسل برنامج تشغيل fs proxy QEMU طلب نظام الملفات إلى مساعد الوكيل ويتلقى ملف
استجابة منه.

تم تصميم Proxy helper بحيث يمكنه إسقاط امتياز الجذر مع الاحتفاظ
القدرات اللازمة للقيام بعمليات نظام الملفات فقط.

OPTIONS

الخيارات التالية مدعومة:

-h عرض المساعدة والخروج

-p | --path مسار
مسار للتصدير لبرنامج تشغيل نظام ملفات الوكيل

-f | --fd معرف المقبس
استخدم واصف ملف معين كواصف مأخذ للتواصل مع وكيل qemu fs
أكثر جفافا. عادةً ما يقوم المساعد مثل libvirt بإنشاء socketpair وتمرير أحد fds كـ
المعلمة إلى -f | --fd

-s | - المقبس ملف مأخذ
يقوم بإنشاء ملف مأخذ توصيل مسمى للتواصل مع برنامج تشغيل fs للوكيل qemu

-u | --uid رقم تعريف الوحدة -g | --gid الجد داء يصيب الخراف
uid: تركيبة gid لمنح حق الوصول إلى ملف socket مسمى

-n | --نوديمون
يعمل كبرنامج عادي. افتراضيًا ، سيعمل البرنامج في الوضع الخفي

استخدم Virtfs-proxy-helper عبر الإنترنت باستخدام خدمات onworks.net