
Hi,<div><br></div><div>First, let me briefly explain the rationale behind this.</div><div><br></div><div>Both parameters (SOURCE, FILES in CONTEXT) lets ANY user to access ANY file that the oneadmin UNIX account can access. A simple and direct exploit is to put</div>


<div><br></div><div>DISK = [ SOURCE = "/var/lib/one/one.db" ]  (or equivalently in CONTEXT)</div><div><br></div><div>and voila you get user pools and any other data. There are even more dangerous files (e.g. "~/.ssh/id_rsa" for example)</div>


<div><br></div><div>So we are thinking of letting a configuration variable set this as there are some environments where OpenNebula is only accessed by trusted admins.</div><div><br></div><div>In the mean while if you want to activate the attributes you have to install OpenNebula   from source and change VirtualMachineTemplate.cc the RESTRICTED_ATTRIBUTES and RS_ATTRS_LENGTH (which should read 5 and not 3)</div>


<div><br></div><div>Cheers</div><div><br></div><div>Ruben</div><div><br></div><div><br><div class="gmail_quote">On Wed, Jan 18, 2012 at 6:01 PM, Ruben Diez <span dir="ltr"><<a href="mailto:rdiez@cesga.es">rdiez@cesga.es</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi:<br>

<br>

We just migrate to OpenNebula 3.2 and we have found that some users can't instantiate their VMs...<br>

<br>

After consult at:<br>

<br>

<a href="http://opennebula.org/documentation:rel3.2:template#disks_section" target="_blank">http://opennebula.org/<u></u>documentation:rel3.2:template#<u></u>disks_section</a><br>

and<br>

<a href="http://opennebula.org/documentation:rel3.2:template#context_section" target="_blank">http://opennebula.org/<u></u>documentation:rel3.2:template#<u></u>context_section</a><br>

<br>

We know that the use of attributes SOURCE (DISK section) and FILES (CONTEXT section) of the template file are only allowed to the users in the "oneadmin" group....<br>

<br>

Our question is: Is there any other way to allow a user to use these attributes other that belong the oneadmin group?? We think than add these users to oneadmin group is not desirable by security reasons....<br>

<br>

<br>

Regards.<br>

<br>

______________________________<u></u>_________________<br>

Users mailing list<br>

<a href="mailto:Users@lists.opennebula.org" target="_blank">Users@lists.opennebula.org</a><br>

<a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/<u></u>listinfo.cgi/users-opennebula.<u></u>org</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>Dr. Ruben Santiago Montero<br>Associate Professor (Profesor Titular), Complutense University of Madrid<br><br>URL: <a href="http://dsa-research.org/doku.php?id=people:ruben" target="_blank">http://dsa-research.org/doku.php?id=people:ruben</a><br>


Weblog: <a href="http://blog.dsa-research.org/?author=7" target="_blank">http://blog.dsa-research.org/?author=7</a><br>

</div>