
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page Section1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body lang=EN-GB link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><span style='color:#1F497D'>I think that people are scared

of the rootkit-like behavior of an arbitrary file injection mechanism. 

Compromise nova-compute, and now you can trivially compromise every guest in the

whole cloud.<o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>In some sense that’s

irrational – I’m sure that there are lots of ways that you can gain

control of a guest, once you’ve compromised nova-compute.  That

said, we shouldn’t make it easy for people, and what you’re

proposing would be one of the easiest of the lot.  I think that someone

should think long and hard about security before we add a simple way to inject

arbitrary files into a guest.<o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>Cheers,<o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>Ewan.<o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>


<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>


<div>


<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>


<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:

"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;

font-family:"Tahoma","sans-serif"'>

openstack-bounces+ewan.mellor=citrix.com@lists.launchpad.net

[mailto:openstack-bounces+ewan.mellor=citrix.com@lists.launchpad.net] <b>On

Behalf Of </b>McNally, Dave<br>

<b>Sent:</b> 14 December 2011 06:04<br>

<b>To:</b> openstack@lists.launchpad.net<br>

<b>Subject:</b> [Openstack] Metadata and File Injection<o:p></o:p></span></p>


</div>


</div>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal><span lang=EN-US>Hi,<o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>I've recently been looking at file and

metadata injection in Nova and I have a question relating to it.<o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>(BTW this is based off what I have seen in

nova/virt/disk.py)<o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>I notice that for key/value pairs specified

as metadata during boot of an instance these values are injected into a file

/meta.js in the instance. However if a file (and corresponding injection

location) are specified when booting the instance the file does not get

injected. <o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>I was wondering if there was an intentional

decision not to use a similar method to that used when injecting meta.js to

inject other files? Because it seems to me the addition of such functionality

would be fairly straightforward.<o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>Also on a vaguely related note why is the

metadata injected into a file rather than stored in a location where it can be

retrieved from the metadata service?<o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>Thanks,<o:p></o:p></span></p>


<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>


<p class=MsoNormal><span lang=EN-US>Dave<o:p></o:p></span></p>


</div>


</div>


</body>


</html>