libvirt-qemu и ACL

Sobergun

New member
Сообщения
42
#1
После последнего обновления заметил, что для пользователя, от которого происходит управление виртуалками изменились разрешения на домашний каталог. Например, при логине
ssh -Y vrtadmin@astra.lan
получаю ошибку /usr/bin/xauth: error in locking authority file /home/vrtadmin/.Xauthority
Оказалось, что установлены ACL
getfacl vrtadmin
# file: vrtadmin
# owner: vrtadmin
# group: vrtadmin
user::rwx
user:libvirt-qemu:--x
group::---
mask::--x
other::---
как-то это очень странно.
С точки зрения ИБ оно полезно, т.к. libvirt-qemu вообще искусственный пользователь, но политика внесения изменений вызывает вопросы.
 

Montfer

New member
Сообщения
2 328
#2
некоторые ловили баг с изменением дискретных атрибутов на домашние каталоги пользователя. может быть это из той же серии, а не фича?
 

Sobergun

New member
Сообщения
42
#3
Вряд ли. Пользователь заводится libvirt-bin, используется для безопасности, а ACL используется в slice cgoups для libvirt. Но причем тут домашний каталог - хз.
 

Montfer

New member
Сообщения
2 328
#4
это просто как вариант для примера не фичи, а именно бага, не более
 

Sobergun

New member
Сообщения
42
#5
Проблема на стороне virt-manager
https://dowe.io/fix-permissions-error-with-kvm-virtual-machine-on-debian/

на github есть в исходниках

#########################
# ACL/path perm helpers #
#########################

SETFACL = "setfacl"
def _fix_perms_acl(dirname, username):
cmd = [SETFACL, "--modify", "user:%s:x" % username, dirname]
 
Последнее редактирование: