Este es el comando virtfs-proxy-helper que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
virtfs-proxy-helper - QEMU 9p ayudante del sistema de archivos proxy virtfs
SINOPSIS
uso: opciones virtfs-proxy-helper
DESCRIPCIÓN
El modelo de seguridad de paso a través en el servidor QEMU 9p necesita privilegios de root para hacer pocos archivos
operaciones (como chown, chmod a cualquier modo / uid: gid). Hay dos cuestiones en la aprobación
a través del modelo de seguridad
1) Vulnerabilidad de TOCTTOU: los siguientes enlaces simbólicos en el servidor podrían proporcionar acceso
a archivos más allá de la ruta de exportación de 9p.
2) Ejecutar QEMU con privilegios de root podría ser un problema de seguridad.
Para superar los problemas anteriores, se utiliza el siguiente enfoque: Se utiliza un nuevo tipo de sistema de archivo 'proxy'
introducido. Proxy FS utiliza la combinación chroot + socket para proteger la vulnerabilidad
conocido con los siguientes enlaces simbólicos. La intención de agregar un nuevo tipo de sistema de archivos es
Permitir que qemu se ejecute en modo no root, pero realizando operaciones privilegiadas utilizando socket IO.
El asistente de proxy (una parte binaria independiente de qemu) se invoca con privilegios de root. Apoderado
helper crea un chroots en la ruta de exportación 9p y crea un par de sockets o un socket con nombre
en el parámetro de la línea de comando. QEMU y el asistente de proxy se comunican mediante este socket.
El controlador QEMU proxy fs envía la solicitud del sistema de archivos al asistente de proxy y recibe la
respuesta de ella.
El asistente de proxy está diseñado para que pueda eliminar el privilegio de root con la retención
capacidades necesarias para realizar operaciones del sistema de archivos únicamente.
OPCIONES
Se admiten las siguientes opciones:
-h Mostrar ayuda y salir
-p | --ruta camino
Ruta de exportación para el controlador del sistema de archivos proxy
-f | --fd ID de socket
Use el descriptor de archivo dado como descriptor de socket para comunicarse con qemu proxy fs
secadora. Por lo general, un ayudante como libvirt creará socketpair y pasará uno de los fds como
parámetro a -f | --fd
-s | --socket archivo de socket
Crea un archivo de socket con nombre para comunicarse con el controlador fs del proxy qemu
-u | --uido UID -g | --gid gid
uid: combinación de gid para dar acceso al archivo de socket con nombre
-n | --nodaemon
Ejecutar como un programa normal. Por defecto, el programa se ejecutará en modo demonio
Use virtfs-proxy-helper en línea usando los servicios de onworks.net
