saamich May 4 2014 at 00:24

Дружим virt-manager с удаленной системой поверх tls

7 min

20K

Virtualization *

Tutorial

Recovery Mode

Comments 16

shadowalone May 4 2014 at 00:33

Зачем так все усложнять, если virt-manager поддерживает ssh. тоже самое и virsh+ssh(qemu+ssh) — прекрасно работает.
Хотя может кому и нужно.

saamich May 4 2014 at 00:37

удаленный root на серверах запрещен.

-1

shadowalone May 4 2014 at 00:39

ну, каждому своё.
можно оставить without-password для root, и только с ключём ходить.
То есть, я имею ввиду, это не аргумент.
В конце концов настроить ssh так, чтоб root мог ходить только с определенных адресов.

saamich May 4 2014 at 00:41

Тоже можно. Но вопрос авторизации для vnc- либо отдельный пароль, либо без пароля, а так — все под одно и не «подсмотреть, что на экране».

shadowalone May 4 2014 at 00:52

это вообще не проблема, для каждой виртуалки отдельный пароль… или в конфиге xml, или даже в GUI virt-manager.

saamich May 4 2014 at 00:58

Даже если virt-manager может сохранят пароли на vnc ( по факту у меня запрашивал каждый раз), в моем случае это крайне неудобно( даже единоразово мне было бы лень набивать пароли), ВМ у меня больше 30 и еще прибавится. Плюс в вашем случае остается возможность «подсмотреть» экран, не критично, но тоже вариант «слить» пароль на что-нибудь. В общем я свой метод предложил выше, ваше право- пользоваться им или остаться при своем мнении.

shadowalone May 4 2014 at 01:01

Я совсем не против Вашего метода. Я лишь высказался, что его стоит использовать, если нельзя пойти простым путем, который работает «иС кАропки».
У любого метода, если он результативен, если право на жизнь :)

dorne May 4 2014 at 03:47

root для удаленного управления виртуалками через ssh не нужен. Только членство в группе libvirt.

saamich May 4 2014 at 11:59

В CentOS 6 даже группы libvirt нет. Возможно там тоже есть какой-то вариант с добавлением пользователя в группу, но на тот момент мне его найти не удалось.

weirded May 4 2014 at 13:45

ssh -X под обычным пользователем на сервер.
sudo -s
virt-manager
профит?

saamich May 4 2014 at 13:47

На сервере иксов не держим.

saamich May 4 2014 at 13:55

Да и работает это «тормозно», если гонять не в пределах локалки.

weirded May 7 2014 at 19:03

Думаю, ненамного тормознутее прямого подключения по VNC :)
А я как-то даже в пределах локалки предпочитаю ssh/virsh/vim/virt-install обходиться :)

saamich May 7 2014 at 19:17

попробуйте, у меня намного тормознутие.

larrabee May 4 2014 at 03:08

Тоже не очень понял смысла сего действа. Если вы указываете для vnc сервера порт выше 1024го, то к нему (этому порту) может подключиться любой пользователь, не обязательно root. Создаем отдельного пользователя, даем ему только право ssh входа и биндинга портов. На каждую виртуалку ставим пароль (можно через вирт-менеджер), vnc слушает только лупбек. Что бы подключиться к консоли коннектимся по ssh коммандой ssh user@host -L 5900:127.0.0.1:5945, где 5945- порт нужной консоли, указывается в вирт-манеджере. И коннектимся vnc клиентом на 127.0.0.1:5900, вводим пароль и вуаля.

Подразумевается, что все действия делаются на «ноде виртуализации» ( где стоит libvirtd, в данном случае это CentOS 6 ) и selinux отключен. Выполняем в консоли:

Не очень это хорошо, selinux не просто так сделан. Он призван минимизировать ущерб безопасности от дыр в приложениях, ну и ограничить сами приложения.

saamich May 4 2014 at 11:55

Выше уже писал, что у меня 30+ виртуалок, лично мне вариант с паролями и ssh тоннелями для vnc не удобен. А по инструкции выше- вы без особого труда сможете повторить.
Да и если вы укажите для vnc порт ниже 1024 к нему из вне тоже сможет любой подключаться, root права будут нужны только для того, чтобы забиндить порт ниже 1024,
По поводу selinux не спорю, но он снижает производительность и настолько «безопасность» уже не была нужна.

-1