Un utente malintenzionato può fare del male usando / dev / kvm?

3

Mi piacerebbe sapere se dare l'accesso alla versione Intel di / dev / kvm su Linux a un utente che vuole solo generare VM, gli dà dei privilegi extra. Cioè, le sue macchine virtuali sono soggette alla pianificazione dei processi proprio come altri processi? Concede automaticamente l'accesso diretto a qualsiasi dispositivo o memoria?

    
posta d33tah 11.07.2014 - 14:07
fonte

1 risposta

2

Potresti proteggere / dev / kvm con un gruppo. Trasferisci la proprietà / dev / kvm al gruppo in modo che i privilegi di root non vengano forniti. Questo link spiega come farlo , ed ecco la citazione diretta:

The cleanest way is probably to create a group, say kvm, and add the user(s) to that group. Then you will need change /dev/kvm to owned by group kvm.

On a system that runs udev, you will probably need to add the following line somewhere in your udev configuration so it will automatically give the right group to the newly created device (i-e for ubuntu add a line to /etc/udev/rules.d/40-permissions.rules).

KERNEL=="kvm", GROUP="kvm"

Per rispondere alla tua domanda non c'è pericolo nel dare loro accesso a / dev / kvm. Questo post spiega che la gestione della memoria più recente fornisce protezioni dallo swapping di grandi quantità di la memoria.

    
risposta data 29.07.2014 - 16:40
fonte

Leggi altre domande sui tag