Frage zu effektiven Rechten bzgl. /dev/kvm [update] *gelöst*

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
weedy
Beiträge: 585
Registriert: 02.11.2002 21:47:49
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Frage zu effektiven Rechten bzgl. /dev/kvm [update] *gelöst*

Beitrag von weedy » 11.02.2017 21:08:13

Hi,

mir fiel auf, als ich kvm (qemu) unter einem anderen User starten wollte, dass kein Zugriff auf /dev/kvm gewährt wird.

Mein normaler User mit der uid 1000 und den Gruppen :

20(dialout),24(cdrom),25(floppy),27(sudo),29(audio),30(dip),
44(video),46(plugdev),108(netdev),110(lpadmin),
113(scanner),119(bluetooth)

kann Problemlos auf /dev/kvm zugreifen, obwohl kvm folgende Rechte besitzt:

$ ls -la /dev/kvm
crw-rw----+ 1 root kvm 10, 232 Feb 11 14:03 /dev/kvm

Nachdem ich den anderen User der Gruppe kvm zugeordnet habe, ging es auch dort.

Aber nun zu der Frage: wieso kann ich auf /dev/kvm zugreifen, obwohl ich nicht der Gruppe kvm angehöre?

############## update

Ich habe da was gefunden unter 'info ls', was nicht in der Manpage steht:

Following the file mode bits is a single character that specifies
whether an alternate access method such as an access control list
applies to the file. When the character following the file mode
bits is a space, there is no alternate access method. When it is a
printing character, then there is such a method.

GNU ‘ls’ uses a ‘.’ character to indicate a file with a security
context, but no other alternate access method.

A file with any other combination of alternate access methods is
marked with a ‘+’ character.


Mir fällt dazu auf, dass dach den mode-Zugriffsrechten noch ein '+' steht, welches an anderen Characterdevides nicht steht.

$ ls -la /dev/kvm
crw-rw----+ 1 root kvm 10, 232 Feb 11 14:03 /dev/kvm
_________^ # dieses da.


Aha, eine alternative Zugriffsmethode, nur welche? Sind das die cgroups? Oder Filesystem-Quotas? Ich komme hier nicht weiter.

################# ah, ich habs:

$ getfacl /dev/kvm
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: dev/kvm
# owner: root
# group: kvm
user::rw-
user:weedy:rw-
group::rw-
mask::rw-
other::---

################## Nachtrag:

offenbar werden die acl-Rechte dynamisch vergeben, wenn man sich über den KDE-Sitzungsmanager einloggt. Denn sie ändern sich beim Wechsel zwischen den virtuellen Konsolen, aber nicht, wenn man auf einer virtuellen grafischen Konsole in der shell per su zu einem anderen User wird. Denn das hatte ich ursprünglich gemacht.

Kann das bedeuten, dass eine qemu-Instanz nicht länger richtig läuft, sobald ich zwischen den grafischen Konsolen wechsle? In jedem Fall sollte dann keine neue Instanz von der nicht aktuellen virtuellen Konsole aus gestartet werden können (zb. per script).

Gruß


Benutzeravatar
weedy
Beiträge: 585
Registriert: 02.11.2002 21:47:49
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Frage zu effektiven Rechten bzgl. /dev/kvm [update] *gel

Beitrag von weedy » 12.02.2017 13:00:43

maledora4 hat geschrieben:https://wiki.debian.org/KVM
Das löst das Problem nicht, dass die acl-Rechte vom Konsolen-Manager (vermutlich kdm) hin und hergeschaltet werden.

Gruß

Antworten