OpenVZ Forum


Home » International » German » root in VE kann mit bel user in Host root werden
root in VE kann mit bel user in Host root werden [message #12793] Wed, 09 May 2007 16:20 Go to next message
micho is currently offline  micho
Messages: 28
Registered: March 2007
Junior Member
From: *he-dsl.de
sehe ich das richtig?

root in einer VE kann beliebige commandos auf owner root setzen und dann mit s-bit versehen.
Sodann kann er das Kommando mit rootrechten als beliebiger benutzer in der Hostumgebung ausführen.

Kann man sich dagegen schützen.

Wenn nein, dürfe ja kein root einer VE irgendeinen accout auf dem Host haben.
Re: root in VE kann mit bel user in Host root werden [message #12872 is a reply to message #12793] Mon, 14 May 2007 06:21 Go to previous message
curx
Messages: 739
Registered: February 2006
Location: Nürnberg, Germany
Senior Member

From: *systs.org
Hi,

Den Zugriffsschutz auf Dateiebene von VE0 <- -> VE kannst Du mit chmod 0700 /var/lib/vz (debian) erhöhen,
somit hat der VE0 User keinen Zugriff auf das Filesystem der VE`s, egal was er als rootuser im VE-Filesystem anstellt ...

Aber wenn die user-id (uid) in der VE0 und VE übereinstimmen, dann ist es möglich, das der VE0 User Zugriffe auf VE Prozesse hat und diese auch verändern kann.

(siehe auch http://bugzilla.openvz.org/442 und http://bugzilla.openvz.org/511 )
Previous Topic: userbeancounter zurücksetzen
Next Topic: Template für Ubuntu 7.04 und debian 4.0-i386
Goto Forum:
  


Current Time: Wed Feb 21 19:23:43 GMT 2018