Kategorie: VM-Verwaltung

Virtual Machine Manager & QEMU/KVM: Port-Forwarding zw. Host und VM ohne Root-Rechte mit "passt"-Backend

4. Februar 2024 Stephan

Aus Sicherheitsgründen ist es empfehlenswert VMs ohne Root-Rechte auszuführen. Wie sich das mit Virtual Machine Manager (VMM) und QEMU/ KVM umsetzen lässt, hatte ich bereits in dem Beitrag Virtual Machine Manager & QEMU/KVM: VMs ohne Root-Rechte ausführen beschrieben.

Ohne Root-Rechte verwendet eine VM standardmäßig das funktional eingeschränkte "Benutzermodus"-Netzwerk mit SLIRP als Backend. Grundsätzlich erlaubt auch SLIRP Port-Forwarding, aber das lässt sich anscheindend nicht direkt über VMM konfigurieren. Seit libvirt v9.0.0 kann für das "Benutzermodus"-Netzwerk als Alternative zu SLIRP das moderne und mit "security in mind" entwickelte passt als Backend genutzt werden. Hiermit lassen sich Port-Weiterleitungen direkt in VMM - derzeit allerdings nur durch manuelle XML-Anpassung - einstellen.

Virtual Machine Manager & QEMU/KVM: VM mit emuliertem TPM einrichten

9. April 2022 Stephan

Aktuell beschäftige ich mich gerade etwas mit TPM (Trusted Platform Module) und dazugehörigen nützlichen Anwendungsfällen. Ein Beispiel wäre z.B. die per TPM verschlüsselte Aufbewahrung von SSH-Keys. Im Allgemeinen verwende ich zum "Experimentieren" immer eine VM. Standardmäßig stellt eine VM auf Basis von QEMU/ KVM aber kein TPM zur Verfügung. Wie ihr mittels swtpm eure VMs mit einem emuliertem TPM(2)-Chip ausstatten könnt, erfahrt ihr in diesem Beitrag.

Virtual Machine Manager & QEMU/KVM: VMs ohne Root-Rechte ausführen

22. September 2021 Stephan

Standardmäßig verbindet sich Virtual Machine Manager (VMM) über die URI qemu:///system mit dem lokalen libvirt-Dienst, der wiederum zur Kommunikation mit QEMU/ KVM dient. Der libvirt-Dienst wird bereits beim Systemstart gestartet und läuft mit Root-Rechten. Alle virtuellen Maschinen (VMs) die unter dieser VMM-Verbindung ausgeführt werden, laufen somit mit Root-Rechten.

Aus Sicherheitsgründen ist es empfehlenswert, VMs bevorzugt ohne Root-Rechte und nur mit Benutzerechten auszuführen. Im folgenden Beitrag erfahrt ihr, wie ihr eure VMs mit VMM über qemu:///session und somit ohne Root-Rechte ausführt.

Virtual Machine Manager & QEMU/KVM: Internes vom Host isoliertes Netzwerk zwischen Gastsystemen herstellen

19. Mai 2020 Stephan

Aktuell stand ich vor der Frage, wie ich mit dem Virtual Machine Manager in Verbindung mit QEMU/ KVM ein internes isoliertes Netzwerk zwischen zwei VMs (Gastsystemen) herstellen kann. Ziel sollte es sein, dass ausschließlich die Gastsysteme untereinander in einem privaten Netzwerk kommunizieren können. Im Gegensatz zum sogenannten "Host-Only"-Netzwerk sollte eine Kommunikation zwischen Gastsystemen und Host als auch umgekehrt nicht möglich sein.

In diesem Beitrag zeige ich euch Schritt für Schritt, wir so ein internes isoliertes Netzwerk mit dem Virtual Machine Manager einrichtet.