Welches Modul/Treiber für welche Hardware, Kernel compilieren...
-
Cae
- Beiträge: 6349
- Registriert: 17.07.2011 23:36:39
- Wohnort: 2130706433
Beitrag
von Cae » 10.02.2016 22:43:01
Hallo zusammen,
geruechteweise [1,2,3] ist es moeglich, inenrhalb eines LXC als lokaler root nicht auf
dmesg-Daten des Hosts zuzugreifen, indem man im Host
kernel.dmesg_restrict=1 setzt. Unter Jessie tut das nicht; ich sehe nach wie vor neue Host-
dmesg-Eintraege. Fuer einen nicht-privilegierten Benutzer auf dem Host erhalte ich allerdings richtigerweise
Code: Alles auswählen
# su -c dmesg test
dmesg: read kernel buffer failed: Operation not permitted
Was laeuft da schief?
Gruss Cae
[1]
https://www.pld-linux.org/docs/lxc#vserver_comparision
[2]
http://blog.wpkg.org/2013/06/11/lxc-res ... -of-dmesg/
[3]
https://security.stackexchange.com/ques ... 2360_80535If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
-
catdog2
- Beiträge: 5352
- Registriert: 24.06.2006 16:50:03
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von catdog2 » 11.02.2016 02:36:09
Unter Jessie tut das nicht; ich sehe nach wie vor neue Host-dmesg-Eintraege. Fuer einen nicht-privilegierten Benutzer auf dem Host erhalte ich allerdings richtigerweise
UID 0 in einem privilegierten LXC Container entspricht UID 0 im Host System. Entsprechend macht der Kernel da keinen Unterschied (deswegen sind die Dinger auch nicht "Ausbruchssicher"). Mittlerweile gibt es auch User Namespaces [1] welche dir eine Art pseudo-root geben, der nicht alles darf. Bei LXC nennt sich das dann Unprivilegierter Container [2]. Es gibt auf LWN auch noch eine nette Artikelserie zu Namespaces [3], zum Verständnis der ganzen Geschichte auf jeden Fall hilfreich.
[1]
http://man7.org/linux/man-pages/man7/us ... ces.7.html
[2]
https://www.stgraber.org/2014/01/17/lxc ... ontainers/
[3]
https://old.lwn.net/Articles/531114/Unix is user-friendly; it's just picky about who its friends are.
-
Cae
- Beiträge: 6349
- Registriert: 17.07.2011 23:36:39
- Wohnort: 2130706433
Beitrag
von Cae » 11.02.2016 03:43:28
catdog2 hat geschrieben:Unter Jessie tut das nicht; ich sehe nach wie vor neue Host-dmesg-Eintraege. Fuer einen nicht-privilegierten Benutzer auf dem Host erhalte ich allerdings richtigerweise
UID 0 in einem privilegierten LXC Container entspricht UID 0 im Host System. Entsprechend macht der Kernel da keinen Unterschied (deswegen sind die Dinger auch nicht "Ausbruchssicher").
Ok, das erklaert das Verhalten. Ich hatte das bisher als ein "besseres chroot" aufgefasst und hier bloss dazu verwendet, um allen I/O auf ein anderes Dateisystem zu erzwingen, ohne jeden Dienst extra dafuer konfigurieren zu muessen. Danke fuer die Aufklaerung!
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
