PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : KVM auf LVM ohne Root-Rechte möglich



craano
20.12.11, 20:05
Hallo,

ich spiele gerade ein wenig mit KVM herum.
Es soll eine bessere I/O Performance geben, wenn man keine dateibasierten Festplatten Images benutzt, sondern KVM direkt auf ein LV zugreifen lässt.

Ohne KVM sieht die Sache ja so ähnlich aus:


qemu-kvm -hda BOOTSYSTEM.img -m 1024 -boot c -net nic -net user


Wenn ich nun die virtuelle Maschine als Festplatte direkt auf ein LV zugreifen lassen, dann starte ich KVM so:


qemu-kvm -drive if=ide,file=/dev/mapper/lvm1-vmtest

oder auch einfach nur:


qemu-kvm -hda /dev/mapper/lvm1-vmtest


Soweit so gut. Allerdings hat die Sache einen Haken. Ich kann nur auf das Device /dev/mapper/lvm1-vmtest zugreifen, wenn ich KVM mit Root-Rechten [sudo] aufrufe. Ist das ein Sicherheitsproblem, wenn der Prozess als root läuft?
Startet Ihre Eure VMs als Root oder unpriviligierter User?

Grüße
craano

derRichard
21.12.11, 18:09
Hallo,

Ohne KVM sieht die Sache ja so ähnlich aus:


qemu-kvm -hda BOOTSYSTEM.img -m 1024 -boot c -net nic -net user



was ist da ohne kvm?
das ist kvm mit emulation.



Soweit so gut. Allerdings hat die Sache einen Haken. Ich kann nur auf das Device /dev/mapper/lvm1-vmtest zugreifen, wenn ich KVM mit Root-Rechten [sudo] aufrufe. Ist das ein Sicherheitsproblem, wenn der Prozess als root läuft?
Startet Ihre Eure VMs als Root oder unpriviligierter User?


als root würde ich das nie starten.
warum passt du nicht einfach die rechte von /dev/mapper/lvm1-vmtest an?

hth,
//richard

craano
21.12.11, 18:20
was ist da ohne kvm?
das ist kvm mit emulation.

Sorry, das ist ein Schreibfehler. Es sollte heißen:
Ohne LVM sieht die Sache ja so ähnlich aus:



als root würde ich das nie starten.
warum passt du nicht einfach die Rechte von /dev/mapper/lvm1-vmtest an?

hth,
//richard
Ist das Euer gängiges Vorgehen, einfach die Rechte des Devices anzupassen, um auf ein LV direkt zuzugreifen?
Das gleiche Problem müsste ja auftreten, wenn ich nicht mit "net user" starte, sondern eine Netzwerk Brücke benutze. Das darf ich doch als User auch nicht. Kann das hier allerdings nicht testen, weil ich an einem Laptop mit Wlan - Karte sitze.

Grüße
craano

derRichard
21.12.11, 18:41
Ist das Euer gängiges Vorgehen, einfach die Rechte des Devices anzupassen, um auf ein LV direkt zuzugreifen?
Das gleiche Problem müsste ja auftreten, wenn ich nicht mit "net user" starte, sondern eine Netzwerk Brücke benutze. Das darf ich doch als User auch nicht. Kann das hier allerdings nicht testen, weil ich an einem Laptop mit Wlan - Karte sitze.


kvm auf lvm2 verwende ich schon lange nicht mehr.
meine gast-images sind raw files auf einem shared filesystem.
wegen netzwerk, man kann qemu pre/post-skripte geben zum einrichten der geräte.
mit sudo kannst du das schön regeln.

aber warum alles per hand machen?
nimm doch libvirt...

//richard