LINUX.ORG.RU
ФорумAdmin

Безопасность гипервизора

 


2

3

Читаю эту доку.

Keeping in mind that any user with administrative security privileges for guest virtual machines can potentially change the partitions in the host physical machine, it is imperative that only actual system administrators are granted this level of security.

Чего то я не допонял, каким боком админ из виртуалки может повлиять на хост гипервизора. Может я не правильно истолковал это?



Последнее исправление: OxFF (всего исправлений: 1)
mysql_secure_installation
OverlayFS и объединение произвольного количества каталогов

А теперь прочитай эту доку дальше процитированного предложения. Там объяснено как избежать проблем.

Смысл в том, что если виртуалке отдать один из дисков системы целиком, то root внутри виртуалки теоретически может создать разделы с ФС, которые хостовая система посчитает своими (согласно записям в fstab или в других конфигах) и примонтирует вместо настоящих. Насколько реально это использовать и что можно натворить - зависит от ситуации.

Deleted
()
Ответ на: комментарий от Deleted

То есть, я так понимаю, для случая когда диском виртуалки является просто файл это не работает?

OxFF
() автор топика
Ответ на: комментарий от Deleted

Спасибо, а то сижу и думаю, как оно из файла может повлиять)

OxFF
() автор топика
Ответ на: комментарий от OxFF

С тем же успехом можно юзать LVM. Просто не отдавай _весь_ диск.

YAR ★★★★★
()
Ответ на: комментарий от OxFF

процедуры по хардендингу, патчи регулярные - для этого надо чтоб гостей на время перезагрузки куда-то спихнуть можно было - соответственно должен быть кластер с поддержкой live migration

af5 ★★★★★
()
Ответ на: комментарий от af5

Или что-бы гости были согласны терпеть регулярные перезагрузки VPSок, что решается ценовой политикой.

MrClon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
mysql_secure_installation
Admin
OverlayFS и объединение произвольного количества каталогов