Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    Уровень привилегий LXC?

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Уровень привилегий LXC?, Proxmox Виртуальная Среда
     
    madsmao
    Guest
    #1
    0
    22.01.2016 03:09:00
    Я запустил PVE v4.1 и пока что мне это нравится. Однако сегодня я столкнулся с небольшой проблемой безопасности в LXC, и это заставило меня углубиться в изучение безопасности LXC, но сначала о самой проблеме. Дело в том, что из LXC-гостя можно просмотреть полный вывод dmesg хоста. Я попробовал следующее, но безуспешно: Код: nano /etc/sysctl.conf # Добавить в конец файла kernel.dmesg_restrict=1 И затем я выполнил "sysctl -p", чтобы применить новое значение. К сожалению, вывод dmesg по-прежнему виден из моего гостя. Я продолжил исследование и обнаружил, что это может быть связано с уровнем привилегий LXC, но поскольку я новичок в LXC, я не знаком с этой концепцией. Это, конечно, можно устранить, но в то же время я хотел бы получить любые советы по поводу обеспечения безопасности LXC в контексте Proxmox. Идеально было бы, чтобы у пользователей моего LXC-гостя была максимальная свобода, но без возможности подорвать работу других LXC-гостей и, конечно, без возможности вмешиваться в хост.
     
     
     
    ghusson
    Guest
    #2
    0
    23.02.2016 12:32:00
    madsmao: можешь рассказать о своём опыте с "lxc.cap.drop: syslog" и его побочными эффектами? Это очень интересно. Спасибо.
     
     
     
    madsmao
    Guest
    #3
    0
    24.02.2016 02:41:00
    Ну, честно говоря, я не проводил совсем уж тщательное тестирование, так что не могу поделиться множеством информации. Настройки работали хорошо для контейнеров, в которых я их применил, но это не означает, что они подойдут для всех ситуаций. Есть довольно много настроек, которые можно изменить, и я бы хотел предложить хороший набор значений по умолчанию, но пока я не пришел к чему-то, с чем бы мне было комфортно.
     
     
     
    ghusson
    Guest
    #4
    0
    24.02.2016 10:23:00
    Хорошо, спасибо в любом случае за ваш ответ.
     
     
     
    Pro122
    Guest
    #5
    0
    22.07.2016 11:30:00
    # /etc/pve/lxc/$vmid.conf добавьте: lxc.cap.drop: syslog cat /etc/pve/lxc/301.conf #VM из модуля ProxmoxVPS Для WHMCS arch: amd64 cpulimit: 2 cpuunits: 8 hostname: xxxx memory: 1024 nameserver: 8.8.8.8 8.8.8.8 net0: bridge=vmbr0,gw=xxx hwaddr=36:36:33:61:65:39,ip=185.70.184.151/24,name=eth0,type=veth onboot: 1 ostype: ubuntu rootfs: local:301/vm-xxx-disk-1.raw,size=10G swap: 1024 lxc.cap.drop: syslog lxc-attach -n 301 root@vds02376:~# dmesg | head -5 [239642.512417] [30901] 0 30901 22007 591 44 3 4856 0 tailwatchd [239642.512419] [24460] 99 24460 19572 247 40 3 504 0 httpd [239642.512426] [11590] 0 11590 22008 626 46 3 4839 0 tailwatchd [239642.512427] [13753] 0 13753 21985 624 44 3 4839 0 tailwatchd [239642.512430] [34248] 99 34248 19541 454 40 3 432 0 httpd Linux 4.2.6-1-pve #1 SMP Чт Янв 28 11:25:08 CET 2016 x86_64 GNU/Linux теперь это не работает, Пожалуйста, помогите меня.
     
     
     
    Pro122
    Guest
    #6
    0
    26.07.2016 22:13:00
    # /etc/pve/lxc/$vmid.conf добавление: lxc.cap.drop: syslog cat /etc/pve/lxc/301.conf #ВМ из модуля ProxmoxVPS arch: amd64 cpulimit: 2 cpuunits: 8 hostname: xxxx memory: 1024 nameserver: 8.8.8.8 8.8.8.8 net0: bridge=vmbr0,gw=xxx hwaddr=36:36:33:61:65:39,ip=185.70.184.151/24,name=eth0,type=veth onboot: 1 ostype: ubuntu rootfs: local:301/vm-xxx-disk-1.raw,size=10G swap: 1024 lxc.cap.drop: syslog lxc-attach -n 301 root@vds02376:~# dmesg | head -5 [239642.512417] [30901] 0 30901 22007 591 44 3 4856 0 tailwatchd [239642.512419] [24460] 99 24460 19572 247 40 3 504 0 httpd [239642.512426] [11590] 0 11590 22008 626 46 3 4839 0 tailwatchd [239642.512427] [13753] 0 13753 21985 624 44 3 4839 0 tailwatchd [239642.512430] [34248] 99 34248 19541 454 40 3 432 0 httpd Linux 4.2.6-1-pve #1 SMP Чт Янв 28 11:25:08 CET 2016 x86_64 GNU/Linux сейчас не работает, пожалуйста, помогите мне
     
     
     
    pmlearner
    Guest
    #7
    0
    29.05.2020 23:02:00
    Изменилось ли что-то в этом плане? Мои экземпляры lxc могут читать dmesg с хоста и также очищать dmesg. Мне нужно настроить lxc таким образом, чтобы скомпрометированный lxc не мог очищать dmesg на хосте. Есть идеи?
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры