Во всех VM в образах развертываемых хостером, обычно активна служба qemu-guest-agent. И в логах работы этой службы обычно только пинги подтверждающие хостеру, что VM жива...
Но эта служба может значительно больше:
qemu-ga --allow-rpcs=help
Выводит возможные RPC запросы от host к guest.
qemu-ga --dump-conf
Выводит текущие настройки qemu-guest-agent, block-rpcs=*** показывает какие RPC запросы заблокированы.
RPC запрос guest-exec позволяет выполнять любую команду на guest VM. Но и без неё векторов злонамеренной атаки guest VM более, чем достаточно.
Используют ли эти возможности крупные хостеры? Скорее всего нет. По моим наблюдениям в логах кроме пингов ничего не встречалось.
Но вероятность несанкционированного доступа к host-машине, однозначно не нулевая. Поэтому для меня минимальные настройки для qemu-guest-agent и желательно до запуска этой службы:
mkdir /etc/qemu
nano /etc/qemu/qemu-ga.conf
[general]
block-rpcs=guest-file-open,guest-file-close,guest-file-read,guest-file-write,guest-file-seek,guest-file-flush,guest-set-user-password,guest-exe№c-status,guest-exec,guest-ssh-get-authorized-keys,guest-ssh-add-authorized-keys,guest-ssh-remove-authorized-keys
apt install qemu-guest-agent
#или
systemctl restart qemu-guest-agent.service
Поделитесь своими наработками в вопросах безопасности. Вместе сделаем блохчейн Golos надежнее и безопаснее.
@gusaru, вот поэтому все "финансовые" ВМ лучше держать у себя дома, в локальной сети, в которую есть доступ, кроме себя, только для "маски-шоу" с автоматами
@ecurrex-ru, вот да, от маски-шоу защиты пока не придумали ))