Tvorba kyberzombies s PCI passthrough (update 30. 7. 2019)

22.7.2019 00:47 | Přečteno: 3944× | | poslední úprava: 30.7.2019 09:24

Aneb proč dělat věci jednoduše, když nad nimi můžeme strávit půl soboty, že jo?

Co je PCI passthrough asi není třeba příliš vysvětlovat. Jde o technologii, která pomocí vhodného přemapování paměťových adres umožňuje předat virtuálnímu stroji přístup k fyzickému hardwaru hostitele. Nejvíce to asi používají hráči, kteří virtualizují Widle s plným přístupem k výkonné grafické kartě. Těm zároveň vděčím za to, že je k tématu k dispozici spousta studijního materiálu. PCI passthrough lze však použít k ledasčemu.

O co se to vlastně snažím?

Životnost různých chemických analyzátorů bývá o dost delší, než by si jejich výrobci asi představovali. Zařízení musí být postavená tak, aby bez mrknutí oka zvládaly provoz v komerčních laboratořích, kde se dlouhé dny a noci prakticky nezastaví. Každá sekunda, kdy přístroj v hodnotě pár mega nečinně stojí představuje vyhozené peníze. V prostředí univerzitní laboratoře nedostávají přístroje zdaleka tolik za uši a mohou vydržet doopravdy dlouho. Faktorem, který může nějakým způsobem omezit jejich životnost je paradoxně ta nejlevnější část celé sestavy, tedy ovládací počítač.

Podobných veteránů máme v laboratoři více. Část z nich je ovládána počítačem s Windows XP a tomu odpovídajícími verzemi softwaru. Kolik života asi zbývá ve starém HPčku s Core2 Duo a mechanickým diskem si radši nechci představovat. Tím, že jsme výzkumná skupina působící na univerzitě si můžeme dovolit kašlat na různá bezpečnostní pravidla a obslužná PC slouží nejen k ovládání přístrojů ale i jako pracovní stanice k vyhodnocování dat, psaní reportů apod. Připojovat historické exponáty s XPčky k síti je vůbec dost o držku, pouštět na nich starý Firefox je pomalu smrtelný hřích. Další problém vzniká třeba v případě, kdy je nutné nahrát nějaká data na sdílený file server. Pro přístup k serveru je vyžadována podpora protokolu SMB2, který XPčka neznají. No a protože je občas potřeba něco zkontrolovat nebo se dostat k výsledkům měření na dálku, je všude nainstalován TeamViewer nebo povolena vzdálená plocha. Psycho.

Cílem bylo nahradit z našich relikvií tu nejrelikvovatější - staré IBM ThinkCentre s Pentiem 4, Windows XP SP2(!) a pomalu odumírajícím mechanickým diskem. Počítač slouží k řízení skoro dvacet let starého kapalinového chromatografu. Problém má několik dalších zábavných omezení souvisejících s tím, jak se k nám ten kapaliňák kdysi dostal. K ničemu nejsou instalační média, jakýkoliv problém se musí vyřešit bez nutnosti cokoliv reinstalovat. Ovládací software používá dost husté protipirátské techniky a někam ho prostě zkopírovat není jen tak. K přístroji už není absolutně žádná technická podpora, cokoliv se kde rozbije, musíme vyřešit sami. Upgrade na novější verzi ovládacího softwaru by sice měl být možný ale cena licence se pohybuje ve stovkách tisících CZK. Poslední zádrhel vězí v tom, že kapaliňák není k PC připojen ethernetem ale rozhraním IEEE-488, též známým jako GPIB. GPIB port PC běžně nemá a proto je třeba přídavná karta do PCI.

Preludium

Porcuji kartonovou krabici zalepenou červenobílou páskou s logem CZC. Vymámit z CZC objednané zboží bylo opět ne úplně přímočaré, leč po oworkaroundění všech formalit objednávku vyřídili dost svižně. V tunách bublinkové fólie leží zachumlaný Ryzen 2200G, deska ASUS PRIME X370-A, 256 GB M.2 Patriot Scorch a nějaký ten další balast okolo. Nezapomenu se vyplísnit za to, že tubu s pastou Arctic Silver MX-4 jsem nechal doma a na chladiči bude muset zůstat tovární bláto a rychle nasypu celou tu přehlídku levného hardwaru do skříně. Regnum RG1 od SilentiumPC je docela fajn kastle se zdrojem na dně. Zajímalo by mě jen, který borec vymýšlel otvory, kterými je třeba vést napájecí kabely od zdroje ke komponentám. Kdyby byly o dva, tři milimetry širší, ušetřil bych si pár expletiv. K další vychytávce patří, že ke zdroji namontovanému v šachtě se dost blbě může, takže zapojování drátů do patic na zdroji je pěkná patlanina. Než zmáčknu power, chvíli se schýzuji tím, že na desce určitě nebude pro podporu Ryzenu 2 dostatečně aktuální BIOS a já budu někde jako šílenec shánět jedničkový Ryzen. Byl bych vzal čtyřstovkový chipset ale nepodařilo se mi najít vhodnou desku s PCI sloty. Ryzen se naštěstí probouzí...

Plán je následující: Na železo nainstalovat nějaké linuxové distro s dlouhodobou podporou a do něj QEMU. Z původního PC předdčkuji celý disk, ten podstrčím QEMU a přes PCI passthrough mu předám IEEE-488 komunikační kartu. Zdánlivě přímočarý plán se začal komplikovat daleko dříve, než jsem čekal.

Na stroj jsem pragmaticky nainstaloval Debian 10 „Buster“. CentOS 8 ještě nevyšel a navíc má Buster o jednu řadu novější jádro; v Busteru je 4.19, v RHEL 8 jen 4.18. LTSková podpora Busteru je plánována do roku 2024, což musí stačit. Instalace základního systému z netinstu, XFCE a QEMU je otázka jestli patnácti minut.

First shots fired

O první překážku zakopávám už při pokusu o spuštění překlonovaných XPček. Zasekávají se hned při bootu, v normálním režimu se nedostanu ani na startovní splash screen, v nouzovém režimu vykysnou hned po zavedení základních ovladačů. QEMU spouštím vždy ručně z terminálu nějakou variací na následující příkaz:

    qemu-system-x86_64 \
    -enable-kvm -cpu host -smp sockets=1,cores=4,threads=2 \
    -machine type=q35,accel=kvm -m 4096M \
    -drive file="disk.img" \
    -net user,smb="/some/where" -net nic,model=virtio \
    -vga qxl \
    -usb -device usb-tablet -show-cursor

Jako první mě napadá, že si XP neporadí s emulací novějšího chipsetu Q35 (*). Změna chipsetu na -machine pc-i440fx-2.8 nicméně nic neřeší, stejně tak nepomáhá snížení množství RAM na 2 GB. XP se probírají až po vypnutí KVM akcelerace. To považuji za podivné, vím totiž určitě, že XPčka v QEMU mi s volbou -enable-kvm na jiné mašině normálně chodí. Technické vysvětlení je prý to, že modul hardwarové abstrakce HAL.dll je na instalačním médiu Windows XP k dispozici v několika variantách a instalátor nainstaluje vždy jen ten vhodný pro hardware, na nějž je instalováno. Fyzický stroj se zřejmě od virtuálního s povoleným KVM liší natolik, že je třeba použít jinou variantu HAL.dll. Tu lze vykopírovat z funkční instalace Windows XP s podobným stupněm opatchování. Protože nic takového nemám po ruce, vypínám KVM a pokračuji dále. XPčka se konečně spustí a očuchají si nový hardware, nezapomínajíc požádat o novou aktivaci.

(*) Ony si s ní taky jen tak neporadí, ale zapnuté KVM je sundá dříve.

Předáváme komunikační kartu

Kdyby byl tohle jediný problém, asi bych si říkal, že to bylo celé až podezřele jednoduché. Skutečná legrace nastává až při pokusu předat komunikační kartu virtuálnímu stroji. IEEE-488 komunikační karta se v lspci ukazuje takto:

    06:01.0 Unassigned class [ff00]: Applied Micro Circuits Corp. Device [10e8:8130]

Linuxové jádro pro ni nemá žádný ovladač, což se hodí. V perfektním světě by stačilo zavést jaderný modul vfio-pci

    modprobe vfio-pci ids=10e8:8130

a přidat do konfigurace QEMU řádek.

    -device vfio-pci,host=06:01.0

Tak triviální to ale není kvůli tzv. IOMMU groups. Detailnější vysvětlení celého problému je třeba zde; ve zkratce jde o toto. Zařízení na PCI-Express sběrnici mohou komunikovat mezi sebou ve stylu peer-to-peer. Taková komunikace nemusí projít skrz IOMMU a tudíž se správně nepřemapuje. V případě zařízení, která dělají DMA to může být katastrofické. Jádro proto seskupuje zařízení, mezi kterými je tato „skrytá“ komunikace možná do skupin. Chceme-li pomocí PCI passthrough předat nějaké zařízení virtuálnímu stroji, musíme zajistit, že všechna zařízení ve skupině jsou pod kontrolou ovladače vfio-pci či pci-stub. Tyto dva ovladače na hardware téměř nesahají a nedělají žádné DMA. Na ArchWiki lze nalézt šikovný miniskript pro výpis zařízení v jednotlivých IOMMU skupinách, skript samotný vypadá takto:

    #!/bin/bash
    shopt -s nullglob
    for g in /sys/kernel/iommu_groups/*; do
        echo "IOMMU Group ${g##*/}:"
        for d in $g/devices/*; do
            echo -e "\t$(lspci -nns ${d##*/})"
        done;
    done;

Jak vypadá skupina s naší komunikační kartou? Takhle:

    IOMMU Group 7:
        01:00.0 USB controller [0c03]: Advanced Micro Devices, Inc. [AMD] X370 Series Chipset USB 3.1 xHCI Controller [1022:43b9] (rev 02)
        01:00.1 SATA controller [0106]: Advanced Micro Devices, Inc. [AMD] X370 Series Chipset SATA Controller [1022:43b5] (rev 02)
        01:00.2 PCI bridge [0604]: Advanced Micro Devices, Inc. [AMD] X370 Series Chipset PCIe Upstream Port [1022:43b0] (rev 02)
        02:00.0 PCI bridge [0604]: Advanced Micro Devices, Inc. [AMD] 300 Series Chipset PCIe Port [1022:43b4] (rev 02)
        02:04.0 PCI bridge [0604]: Advanced Micro Devices, Inc. [AMD] 300 Series Chipset PCIe Port [1022:43b4] (rev 02)
        02:05.0 PCI bridge [0604]: Advanced Micro Devices, Inc. [AMD] 300 Series Chipset PCIe Port [1022:43b4] (rev 02)
        02:06.0 PCI bridge [0604]: Advanced Micro Devices, Inc. [AMD] 300 Series Chipset PCIe Port [1022:43b4] (rev 02)
        02:07.0 PCI bridge [0604]: Advanced Micro Devices, Inc. [AMD] 300 Series Chipset PCIe Port [1022:43b4] (rev 02)
        05:00.0 PCI bridge [0604]: ASMedia Technology Inc. ASM1083/1085 PCIe to PCI Bridge [1b21:1080] (rev 04)
        06:01.0 Unassigned class [ff00]: Applied Micro Circuits Corp. Device [10e8:8130]
        07:00.0 Ethernet controller [0200]: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)

No... scheiꞵe, pravilo by se po německu.

Částečným řešením může být ACS override patch. ACS zde znamená Access Control Services a jde o mechanismus poskytovaný PCIe sběrnicí, který umožňuje přenosy neviditelné pro IOMMU zakázat. Problém je, že tento mechanismus musí být správně implementován chipsetem. Napadá mě, že kdybych nebyl pitomec, mohl jsem se podívat, jak IOMMU skupiny vypadají na chipsetu B450 a aspoň tušit, že nastane problém. ACS override patch falešně hlásí podporu ACS navzdory tomu, co tvrdí hardware, což může pomoci. Jádra s ACS override patchem pro Ubuntu a Debian se dají stáhnout třeba odsud. Problém je, že i po instalaci jádra s ACS overridem a nabootováním s jaderným parametrem pcie_acs_override=downstream zůstane skupina s komunikační kartou úplně stejná. Scheiꞵe indeed...

Fajn, která z těch ostatních zařízení skutečně potřebuji? PCI bridge uvolňovat není třeba a bez síťovky se obejdu, se SATA řadičem a USB je to horší. Na SATA řadiči je připojený mechanický disk s obrazem virtuálky, do USB je připojená myš. SSD disk, který jsem chtěl původně - a měl kapacitu jen 128 GB - byl naštěstí vyprodaný, takže jsem musel pořídit jiný v 256 GB verzi. Celý obraz disku virtuálky má 150 GB, takže se na SSDčko v pohodě vejde. NVMe řadič je v samostatné IOMMU skupině, čímž máme aspoň jedno zařízení z krku. USB řadič je rozdělen na několik zařízení, budu-li mít štěstí, umrtvím jen nějaké USB porty. Jak tedy na to? Nejdříve musíme upravit initramfs tak, aby obsahoval vfio-pci ovladač. To na Debianu provedeme tak, že do souboru /etc/initramfs-tools/modules přidáme následující řádky

    vfio
    vfio-vifqfd
    vfio-iommu-type1
    vfio-pci

a spustíme /sbin/update-initramfs -u

V dalším kroku upravíme jadernou příkazovou řádku tak, aby se vfio-pci zaváděl co nejdříve při bootu. Do souboru /etc/default/grub přidáme do řádky GRUB_CMDLINE_LINUX následující:

    iommu=on amd_iommu=on rd.driver.pre=vfio-pci vfio-pci.ids=1022:43b9,1022:43b0,1022:43b4,1b21:1080,10e8:8130,10ec:8168

Tím jednak nahodíme IOMMU a za druhé řekneme jádru, že má při startu zavést ovladač vfio-pci. Seznam uvedený za vfio-pci.ids je seznam hardwarových ID zařízení, pro která chceme vfio-pci použít. Ten získáme třeba z výpisu lspci -nn. Nakonec spustíme /sbin/update-grub a restartujeme stroj.

Zde je jádro bohužel trochu hloupé a někdy si bezostyšně nahradí vfio-pci „správným“ ovladačem pro dané zařízení. Zda se tak stalo můžeme zjistit třeba výpisem lspci -k. Ukázkový výstup může vypadat následovně:

    03:00.0 Network controller: Intel Corporation Centrino Ultimate-N 6300 (rev 3e)
            Subsystem: Intel Corporation Centrino Ultimate-N 6300 3x3 AGN
            Kernel driver in use: iwlwifi
            Kernel modules: iwlwifi

Pokud je v řádku Kernel driver in use něco jiného než vfio-pci, jádro se rozhodlo nás vyfakovat a zavést si ovladače po svém. To vyřešíme tak, že nežádoucí zařízení ovladači ručně sebereme. Pro unbind USB řadiče (viz seznam o trochu výše) bychom postupovali takto:

    echo -n 0000:01:00.0 > /sys/bus/pci/drivers/xhci_hcd/unbind
    echo 1022 43b9 > /sys/bus/pci/drivers/vfio-pci/new_id

Výpis lspci -k by měl nyní ukázat Kernel driver in use: vfio-pci. Podobný trik provedeme pro případná další zařízení v dané IOMMU skupině. PCI bridge můžeme ignorovat, ty QEMU nevadí, protože samy nemohou provádět žádné DMA.

Pokusíme-li se teď předat QEMU přístup ke komunikační kartě, zmizí chybová hláška Group not viable a QEMU s XPčky nastartuje. Ač dokumentace QEMU nedoporučuje používat PCI passthrough spolu s emulací chipsetu i440FX, karta se objevuje ve Správci zařízení a XP chvíli dumají nad instalací ovladače. Ten se nainstaluje a Windows si řeknou o restart. Poté se karta tváří jako plně funkční.

Na hodinách už je zle po osmé večerní, když třesoucím se prstem zapínám chromatograf a PDA detektor. Inicializace obou zařízení chvíli trvá... konečně. Spouštím ovládací software a v konfigurátoru instrumentace skenuji dostupná zařízení. U separačního modulu i PDA detektoru se zobrazuje OK: Yes. I údaje o teplotě autosampleru, kolony a hodnotě zpětného tlaku vypadají živé a smysluplné. Ty krávo, ono to snad fakt funguje... :) (*)

Pro úplnost, celý skript, kterým virtuálku spouštím vypadá následovně. Skript se spouští automaticky se startem XFCE - aktualizován 23. 7. 2019

#! /bin/bash

RUN_VM=1
IP_ADDR=10.8.2.152

destroy_tap() {
	ip l set dev tap0 down
	brctl delif vmbr0 tap0
	ip tuntap del tap0 mode tap
}

destroy_iptables() {
	iptables -D FORWARD -s $IP_ADDR -p udp --dport 67:68 -j ACCEPT
	iptables -D FORWARD -d $IP_ADDR -p udp --sport 67:68 -j ACCEPT
	iptables -D FORWARD -s $IP_ADDR -p udp --dport 53 -j ACCEPT
	iptables -D FORWARD -d $IP_ADDR -p tcp --dport 3389 -j ACCEPT
	iptables -D FORWARD -p udp --dport 137 -s $IP_ADDR -j ACCEPT
	iptables -D FORWARD -p udp --dport 138 -s $IP_ADDR -j ACCEPT
	iptables -D FORWARD -p udp --sport 137 -d $IP_ADDR -j ACCEPT
	iptables -D FORWARD -p udp --sport 138 -d $IP_ADDR -j ACCEPT
	iptables -D FORWARD -p tcp --dport 139 -s $IP_ADDR -j ACCEPT
	iptables -D FORWARD -p tcp --dport 445 -s $IP_ADDR -j ACCEPT
	iptables -D FORWARD -d $IP_ADDR -p icmp -j ACCEPT
	iptables -D FORWARD -s $IP_ADDR -p icmp -j ACCEPT
	iptables -D FORWARD -s $IP_ADDR -j DROP
	iptables -D FORWARD -d $IP_ADDR -j DROP
}

cleanup() {
	destroy_iptables
	destroy_tap
}

fail() {
	echo "$1"
	read -p "Press Enter to terminate..."

	cleanup

	exit 1
}

fail_early() {
	echo "$1"
	read -p "Press Enter to terminate..."

	exit 1
}

init_iptables() {
	# Allow DHCP
	iptables -A FORWARD -s $IP_ADDR -p udp --dport 67:68 -j ACCEPT
	iptables -A FORWARD -d $IP_ADDR -p udp --sport 67:68 -j ACCEPT

	# Allow DNS
	iptables -A FORWARD -s $IP_ADDR -p udp --dport 53 -j ACCEPT

	# Allow RDP
	iptables -A FORWARD -d $IP_ADDR -p tcp --dport 3389 -j ACCEPT

	# Allow SMB shares
	iptables -A FORWARD -p udp --dport 137 -s $IP_ADDR -j ACCEPT
	iptables -A FORWARD -p udp --dport 138 -s $IP_ADDR -j ACCEPT
	iptables -A FORWARD -p udp --sport 137 -d $IP_ADDR -j ACCEPT
	iptables -A FORWARD -p udp --sport 138 -d $IP_ADDR -j ACCEPT
	iptables -A FORWARD -p tcp --dport 139 -s $IP_ADDR -j ACCEPT
	iptables -A FORWARD -p tcp --dport 445 -s $IP_ADDR -j ACCEPT

	# Allow ICMP (ping and stuff)
	iptables -A FORWARD -d $IP_ADDR -p icmp -j ACCEPT
	iptables -A FORWARD -s $IP_ADDR -p icmp -j ACCEPT

	# Block anything else
	iptables -A FORWARD -s $IP_ADDR -j DROP
	iptables -A FORWARD -d $IP_ADDR -j DROP
}

init_tap() {
	if grep -qs "tap0" ip l show; then
		echo "Tap device already exists"
	else
		ip tuntap add tap0 mode tap || fail_early "Cannot create tap device"
		brctl addif vmbr0 tap0 || fail "Cannot add tap interface to bridge"
	fi
}

warn() {
	echo "WARNING: $1"
}

unmount_data_part() {
	if grep -qs "/media/data" cat /proc/mounts; then
		umount /media/data || fail "Cannot unmount data partition"
	fi
}

unbind_all() {
	echo "Freaky stuff happening..."

	#Unbind interferring USB controller
	echo -n 0000:01:00.0 > /sys/bus/pci/drivers/xhci_hcd/unbind || warn "Failed to unbind USB controller"
	echo 1022 43b9 > /sys/bus/pci/drivers/vfio-pci/new_id || warn "Failed to vfio-ize USB controller"

	#Unbind interferring network controller
	echo -n 0000:07:00.0 > /sys/bus/pci/drivers/r8169/unbind || warn "Failed to unbind network controller"
	echo 10ec 8168 > /sys/bus/pci/drivers/vfio-pci/new_id || warn "Failed to vfio-ize network controller"

	#Unmount HDD and unbind interferring SATA controller
	unmount_data_part
	echo -n 0000:01:00.1 > /sys/bus/pci/drivers/ahci/unbind || warn "Failed to unbind SATA controller"
	echo 1022 43b5 > /sys/bus/pci/drivers/vfio-pci/new_id || warn "Failed to vfio-ize SATA controller"

	echo "Freaky stuff happened successfully..."
}

rebind_partial() {
	#Remount data partition
	echo -n 0000:01:00.1 > /sys/bus/pci/drivers/vfio-pci/unbind || fail "Failed to devfio-ize SATA controller"
	echo 1022 43b5 > /sys/bus/pci/drivers/ahci/new_id || fail "Failed to rebind SATA controller"
	echo "Please wait for the SATA disk to remount..."
	sleep 2
	mount /dev/disk/by-uuid/087f61b0-177d-4bb6-8b49-cac445c14d61 /media/data || warn "Failed to remount data partition"
}

launch_qemu() {
	qemu-system-x86_64 \
		-cpu coreduo,-vme \
		-smp 1,cores=1,threads=1 \
		-machine pc-i440fx-2.8 -m 2048M \
		-device vfio-pci,host=06:01.0 \
		-drive file=/home/echmet/VM/WinXP_Empower.img,format=raw \
		-net nic,model=e1000,macaddr=00:09:6b:47:c0:e9 \
		-net tap,ifname=tap0 \
		-rtc base=localtime \
		-vga qxl -usb -device usb-tablet -show-cursor \
	        -no-quit || fail "QEMU failed to launch or crashed..."
}

upgrade_packages() {
	apt-get -y update || fail "Failed to refresh package list"
	apt-get -y upgrade || fail "Failed to upgrade packages"
}

ask_restart() {
	zenity --question \
		--title "What do I do?" \
		--text "Do you want to restart the virtual machine?" \
		--width 300

	if [ $? -ne 0 ]; then
		RUN_VM=0
	fi
}

ask_main() {
	zenity --question \
		--title "What do I do?" \
		--text "Virtual machine has shut down. Do you want to update system packages and shut the computer down?" \
		--width 500

	if [ $? -eq 0 ]; then
		upgrade_packages
		systemctl poweroff
	fi

	ask_restart
}

	init_tap
	init_iptables

if [ ! -z "$1" ]; then
	if [ "$1" == "rebind_partial" ]; then
		rebind_partial
		exit 0
	elif [ "$1" != "nounbind" ]; then
		unbind_all
	fi
else
	unbind_all
fi

while [ $RUN_VM -eq 1 ]; do
	launch_qemu
	ask_main
done

cleanup

rebind_partial

(*) To nebudu vědět jistě, dokud na tom někdo nezkusí něco měřit...

Resumé

Takhle sesumírované to zní děsně jednoduše. Když jsem to dával dohromady, ke konci jsem se u toho moc nesmál. Reálná cena za umrtvení několika zařízení na desce je nefunkční síť, čtyři inhibované USB porty (z celkových osmi) a nemožnost zapisovat na sekundární HDD. První problém jsem vyřešil zapojením USB síťovky. AXAGON ADE-SR se na Alze povaluje za cca 340 Kč a na Linuxu funguje ihned po zapojení. Verze, co jsem obdržel já se identifikuje takto:

    Bus 002 Device 006: ID 0bda:8153 Realtek Semiconductor Corp. RTL8153 Gigabit Ethernet Adapter

Problém s USB porty vlastně není třeba řešit. Dokud fungují aspoň nějaké porty, vždycky se dá zapojit rozbočovač. Nutnost shodit i SATA řadič mi vadí asi nejvíce. SSD diskům pořád úplně nevěřím; třeba Crucial MX200, co jsem donedávna měl v notebooku zhruba před čtrnácti dny odešel doslova zničehonic (co myslíte, měl jsem zazálohováno?). Protože SATA řadič je nutné shodit až tehdy, když se spouští virtuálka, uvažuji o pravidelném zálohování obrazu z SSDčka na mechanický disk. Jasně, žádná pořádná záloha to není ale aspoň proti nečekanému selhání SSD disku by to stačilo.

TODO - Update 23. 7. 2019

Vzhledem to tomu, že zápisek vzbudil až nečekaný zájem - původně jsem to napsal spíš pro sebe jako takovou zajímavou blbůstku - přikládám aktualizovaný TODO list s finálním startovacím skriptem.

Rozjet na virtuálce KVM akceleraci. Sice to není až tak pomalé ale znát to je.

Tohle se mi prostě nepodařilo. Buď je to důsledek bugu ve VME 1,2, který QEMU neumí zamaskovat, nebo jde o ještě něco jiného. Každopádne se mi ani po hodině zběsilého přehazování typu CPU a povolených rozšíření nepovedlo rozjet ani instalátor XPček. Bez -enable-kvm to funguje.

Omezit virtuálce přístup k síti tak, aby mohla jen k SMB sharu hosta a možná vzdálené ploše.

Done. Při pohledu na ty pravidla pro iptables ihned rozpoznáte, že nejsem žádný síťař ale svůj účel to plní. Bacha na to, že Debian 10 používá jako výchozí nftables a pokud chcete filtrovat TCP/IP na bridgi, je lepší se vrátit k iptables a zavést modul br_netfilter. Virtuálka může jen k SMB sharu hosta, DNS, DHCP a RDP, všechno ostatní je zatnuté.

Nastavit automatické zálohování obrazu virtuálky.

Tohle jsem nakonec zavrhl s tím, že se to ve vhodné momenty prostě odzálohuje ručně. (Tak určitě, že jo...)

Upravit spouštěcí skript tak, aby po zastavení virtuálky znovu připojil druhý disk.

Done, viz aktualizovaný skript.

Update 30. 7. 2019

Nakonec na povrch vyplulo ještě pár nedostatků, jež bylo nutné vyřešit a sice:

• QEMU s VM občas náhodně crashnul, velmi dobře reprodukovatelné to bylo při pokusu restartovat virtualizovaná XP. Vyřešeno změnou -cpu na

  -cpu coreduo,-vme \
  -smp 1,cores=1,threads=1 \
  

  S povolenými více jádry by to asi fungovalo také ale už se mi nechtělo s tím dál laborovat.
• QEMU je možné nechtěně zavřít kliknutím na zavírací křížek okna nebo zmáčknutím Alt+F4. Vyřešeno přidáním parametru -no-quit.
• Ovladač virtio síťovky pro XP (verze 0.1.141-1) je zřejmě nějak zabugovaný a občas po startu XPček nechodí žádné příchozí packety. Pokud se síťovka ve správci zařízení ručně zakáže a opět povolí, chytne to ale moc user-friendly to není. Vyřešeno nastavením -net nic,model=e1000 a doinstalováním ovladače pro kartu IntelPRO 1000 - XPčka ho ještě nemají.

A proč jsem to vlastně psal? Počítačů, které bude potřeba podobným způsobem zombifikovat máme víc, tak ať se má případný budoucí snaživec kde inspirovat. Už teď je mi ho líto...

A na závěr ten obligátní It Works! obrázek

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru