Какова цель пользователя «Libvirt qemu», который создается как пользователь без системы при установке какого-либо пакета виртуализации?
Какой пакет сделал это именно?
Создано libvirt-bin:
$ grep libvirt-qemu /var/lib/dpkg/info/*.postinst
/var/lib/dpkg/info/libvirt-bin.postinst:# Allocated UID and GID for libvirt-qemu
/var/lib/dpkg/info/libvirt-bin.postinst: if ! getent passwd libvirt-qemu >/dev/null; then
/var/lib/dpkg/info/libvirt-bin.postinst: libvirt-qemu
/var/lib/dpkg/info/libvirt-bin.postinst: chown libvirt-qemu:kvm "${dir}"
/var/lib/dpkg/info/libvirt-bin.postinst: chown libvirt-qemu:kvm /var/lib/libvirt/qemu/channel/target
И это мера безопасности. С такими сервисами, как веб-серверы, почтовые серверы, гипервизоры и т. Д., Служба должна отбрасывать привилегии и работать как непривилегированный пользователь, а не оставаться как root после выполнения любой необходимой инициализации. Таким образом, если служба скомпрометирована, злоумышленник не получает неограниченного доступа root. Для libvirt в частности:
Если виртуальные машины QEMU из экземпляра «system» запускаются как не root, будут существовать большие ограничения на то, какие ресурсы хоста будут доступны для процесса QEMU.Создано libvirt-bin:
$ grep libvirt-qemu /var/lib/dpkg/info/*.postinst
/var/lib/dpkg/info/libvirt-bin.postinst:# Allocated UID and GID for libvirt-qemu
/var/lib/dpkg/info/libvirt-bin.postinst: if ! getent passwd libvirt-qemu >/dev/null; then
/var/lib/dpkg/info/libvirt-bin.postinst: libvirt-qemu
/var/lib/dpkg/info/libvirt-bin.postinst: chown libvirt-qemu:kvm "${dir}"
/var/lib/dpkg/info/libvirt-bin.postinst: chown libvirt-qemu:kvm /var/lib/libvirt/qemu/channel/target
И это мера безопасности. С такими сервисами, как веб-серверы, почтовые серверы, гипервизоры и т. Д., Служба должна отбрасывать привилегии и запускаться как непривилегированный пользователь, а не оставаться как root после выполнения любой необходимой инициализации. Таким образом, если служба скомпрометирована, злоумышленник не получает неограниченного доступа root. Для libvirt в частности:
Если виртуальные машины QEMU из экземпляра «system» запускаются как не root, будут существовать большие ограничения на то, какие ресурсы хоста будут доступны для процесса QEMU.Создано libvirt-bin:
$ grep libvirt-qemu /var/lib/dpkg/info/*.postinst
/var/lib/dpkg/info/libvirt-bin.postinst:# Allocated UID and GID for libvirt-qemu
/var/lib/dpkg/info/libvirt-bin.postinst: if ! getent passwd libvirt-qemu >/dev/null; then
/var/lib/dpkg/info/libvirt-bin.postinst: libvirt-qemu
/var/lib/dpkg/info/libvirt-bin.postinst: chown libvirt-qemu:kvm "${dir}"
/var/lib/dpkg/info/libvirt-bin.postinst: chown libvirt-qemu:kvm /var/lib/libvirt/qemu/channel/target
И это мера безопасности. С такими сервисами, как веб-серверы, почтовые серверы, гипервизоры и т. Д., Служба должна отбрасывать привилегии и работать как непривилегированный пользователь, а не оставаться как root после выполнения любой необходимой инициализации. Таким образом, если служба скомпрометирована, злоумышленник не получает неограниченного доступа root. Для libvirt в частности:
Если виртуальные машины QEMU из экземпляра «system» запускаются как не root, будут существовать большие ограничения на то, какие ресурсы хоста будут доступны для процесса QEMU.