libvirt-qemu и ACL

[Sobergun]

После последнего обновления заметил, что для пользователя, от которого происходит управление виртуалками изменились разрешения на домашний каталог. Например, при логине
ssh -Y vrtadmin@astra.lan
получаю ошибку /usr/bin/xauth: error in locking authority file /home/vrtadmin/.Xauthority
Оказалось, что установлены ACL
getfacl vrtadmin
# file: vrtadmin
# owner: vrtadmin
# group: vrtadmin
user::rwx
user:libvirt-qemu:--x
group::---
mask::--x
other::---
как-то это очень странно.
С точки зрения ИБ оно полезно, т.к. libvirt-qemu вообще искусственный пользователь, но политика внесения изменений вызывает вопросы.

 

[Montfer]

некоторые ловили баг с изменением дискретных атрибутов на домашние каталоги пользователя. может быть это из той же серии, а не фича?

 

[Sobergun]

Вряд ли. Пользователь заводится libvirt-bin, используется для безопасности, а ACL используется в slice cgoups для libvirt. Но причем тут домашний каталог - хз.

 

[Montfer]

это просто как вариант для примера не фичи, а именно бага, не более

 

[Sobergun]

Проблема на стороне virt-manager
https://dowe.io/fix-permissions-error-with-kvm-virtual-machine-on-debian/

на github есть в исходниках

#########################
# ACL/path perm helpers #
#########################

SETFACL = "setfacl"
def _fix_perms_acl(dirname, username):
cmd = [SETFACL, "--modify", "user:%s:x" % username, dirname]