我们公司给每个开发者提供一个虚拟机,这个虚拟机对他们来说是专有的,但是不能给root访
我打算要求root密码,以便我可以在VM上安装不同的软件。
只是想确保在VM上拥有一个root密码不会给我任何主机系统的控制权。
不。 它不应该给你任何主机访问,假设你在一个主要的虚拟化套件(VMWare,KVM,Xen等)之一。
过去,VMWare,KVM和XEN一直存在安全问题,如果您是VM中的根,那么您可以在VM服务器上获取root。
更新1:
出于这个原因,我明白即使是虚拟机也不愿意传递root密码。
XEN的一个例子是CVE-2012-3515 (第三眼看起来是无害的)。
KVM的一个例子是CVE-2011-2512 。
VMWare的一个例子是CVE-2012-1518 。
由于可能有其他未知的零日攻击周围永远无法确定…
更新2:
XEN中的root访问也会让你控制xen-ram-ballooning 。 这也可能在虚拟机服务器端有一些不好的副作用(我在XEN Dom0上testing过这种情况:有些情况下,Dom0并没有告诉pipe理员关于DomU的内存消耗的事实) 。