編集 2 : TL;DR: 2013 年には答えはイエスでしたが、この欠陥は修正されました
vagrantup.com の「はじめに」の手順に従うと、ポート 2222 で SSH 接続を受け入れる仮想マシンが完成するようです。これにより、誰でも VM へのルート アクセスを取得し、デフォルトの資格情報 (ユーザー名) を使用してホストの作業ディレクトリを読み取ることができます。 =password=vagrant または vagrant_insecure_private_key)。
これは本当ですか?はいの場合、それがギャップのあるセキュリティ脆弱性と見なされないのはなぜですか? 機密データを VM にコピーした場合はどうなりますか?
編集: また、インターネット上の誰もがソースを読み取って VM で任意のコードを実行できることはそれほど悪くないと考える人には、このブログ投稿http://blog.ontoillogical の「ブレイクアウト」セクションを読むことをお勧めします。 com/blog/2012/10/31/breaking-in-and-out-of-vagrant/
簡単に言うと、Vagrant を「意図したとおりに」実行すると、だれでもホスト/開発マシンに侵入できるようになります (たとえば、悪意のある git post-commit フックを使用することによって)。