Nếu người dùng chạy libvirtd bên trong bộ chứa docker, có cách nào để khám phá máy ảo của người dùng không?

BrianTheLion

18:14, 05/02/2023

câu hỏi có khả năng ngây thơ mà tôi hy vọng một số các nhóm các chuyên gia có thể trả lời nhanh chóng:

Giả sử như sau người đóng tàu quy trình làm việc được điều hành bởi người dùng Linux trò hề, làm thế nào hệ thống có thể nguồn gốc người dùng xác định rằng máy ảo thực sự đang chạy?

IMAGE_NAME="ubuntu:20.10"
DOCKER_ARGS="--rm -i --privileged"

con mèo <<"EOF" | docker chạy ${DOCKER_ARGS} ${IMAGE_NAME}
đặt -ex
cập nhật apt-get
cài đặt apt-get -y libvirt0 virt-manager

libvirtd --daemon
virtlogd --daemon

danh sách mạng virsh --name | fgrep mặc định || virsh net-start mặc định

virt-install \
  --tên MyFedora \
  --bộ nhớ 1024 \
  --disk path=/tmp/myFedora.img,size=10 \
  --mạng mạng = mặc định \
  --os-biến thể fedora28 \
  --cdrom /opt/joe/Fedora-Server-dvd-x86_64-34-1.2.iso \
  --noautoconsole \
  --debug

danh sách virsh --all

giấc ngủ vô tận

EOF

Cho rằng libvirtd ổ cắm đó trò hề đang chạy ngược lại chỉ tồn tại bên trong bộ chứa docker, làm thế nào nguồn gốc tìm thấy trò hềcủa VM?

330

0 + 0

trói buộc

hộp đựng

người đóng tàu

djdomi

19:55, 05/02/2023

tôi không chắc, nhưng có thể từ chối ảo hóa phụ, vì lúc đầu họ đã sử dụng lxc và có thể từ chối điều đó

Hồi đáp

A.B

20:05, 06/02/2023

root sẽ thấy tiến trình qemu-system-x86 đang chạy. (Nhân tiện, khả năng chạy docker cho phép trở thành root trên máy chủ, trừ khi SELinux hoặc AppArmor ngăn chặn một số điều đó. Vì vậy joe root có nghĩa là joe phải làm những việc có trách nhiệm).

Hồi đáp

BrianTheLion

16:30, 08/02/2023

@ A.B Làm cách nào để sử dụng pid của quy trình `qemu-system-x86` để theo dõi và áp dụng chính sách cho VM?

Hồi đáp

A.B

16:33, 08/02/2023

Bạn nên giải thích trong câu hỏi vấn đề bạn định giải quyết là gì. Nếu không, điều này có thể trở thành sự cố XY: https://xyproblem.info .

Hồi đáp

BrianTheLion

16:50, 08/02/2023

@ A.B Nhận xét của tôi có tính chất tu từ. Vấn đề là -- trừ khi `qemu-system-x86` là đặc biệt; và nó có thể là, tôi không biết - việc có pid thường không cho chúng ta biết nhiều về những gì có thể ẩn đằng sau pid trừ khi có một cơ chế khả thi để tra cứu ngược vào không gian ứng dụng.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: If a user runs libvirtd inside a docker container, is there any way to discover the user's VMs?

TH: หากผู้ใช้เรียกใช้ libvirtd ภายในคอนเทนเนอร์นักเทียบท่า มีวิธีใดบ้างที่จะค้นพบ VM ของผู้ใช้

RO: Dacă un utilizator rulează libvirtd într-un container docker, există vreo modalitate de a descoperi VM-urile utilizatorului?

RU: Если пользователь запускает libvirtd внутри док-контейнера, есть ли способ обнаружить виртуальные машины пользователя?

VI: Nếu người dùng chạy libvirtd bên trong bộ chứa docker, có cách nào để khám phá máy ảo của người dùng không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.