abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 09:00 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 18 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    dnes 00:11 | Nová verze

    Byla vydána verze 1.70.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example. Jako reakce na rostoucí obavy z vlivu korporací na vývoj Rustu a předložený návrh restriktivních zásad používání ochranných známek Rustu, byl nedávno představen komunitní fork Rustu se 100 % méně byrokracie: Crab (CrabLang).

    Ladislav Hagara | Komentářů: 7
    včera 21:55 | Zajímavý článek

    Oliver Smith z Canonicalu shrnuje základní vlastnosti „neměnné“ distribuce Ubuntu Core také ve srovnání s protějšky Chrome OS, Fedora Silverblue a MicroOS. Canonical připravuje desktopovou variantu Ubuntu Core vedle dosavadní serverové/embedded.

    Fluttershy, yay! | Komentářů: 0
    včera 13:33 | Upozornění

    Z aktualizovaného seznamu chyb (pdf) procesoru AMD EPYC 7002: #1474 - procesor se po 1044 dnech od posledního resetu zasekne [reddit].

    Ladislav Hagara | Komentářů: 16
    včera 13:00 | Nová verze

    Fossil (Wikipedie) byl vydán ve verzi 2.22. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.

    Ladislav Hagara | Komentářů: 0
    včera 12:22 | Zajímavý článek

    David Malcolm se ve svém příspěvku na blogu vývojářů Red Hatu rozepsal o vylepšeních statické analýzy (volba -fanalyzer) v GCC 13.

    Ladislav Hagara | Komentářů: 1
    včera 12:00 | Nová verze

    Byla vydána nová stabilní verze 23.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Stoat. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    včera 11:44 | Bezpečnostní upozornění

    Příspěvek na blogu CZ.NIC upozorňuje na nový útok na weby v Česku. Na honeypotech na Turrisech byla zaznamenána nová aktivita útočníků - probíhající útok na FTP servery, které se vyskytují na stejné IP adrese, jako aktivní WEB server.

    Ladislav Hagara | Komentářů: 0
    31.5. 23:44 | Nová verze

    Rakudo (Wikipedie), tj. překladač programovacího jazyka Raku (Wikipedie), byl vydán ve verzi 2023.05. Programovací jazyk Raku byl dříve znám pod názvem Perl 6.

    Ladislav Hagara | Komentářů: 0
    31.5. 20:22 | IT novinky

    Linux Foundation Europe představila projekt RISE (RISC-V Software Ecosystem), jehož cílem je urychlit vývoj open source softwaru pro architekturu RISC-V.

    Ladislav Hagara | Komentářů: 0
    Twitter (nejen pro příležitostné čtení)
     (81%)
     (7%)
     (11%)
    Celkem 27 hlasů
     Komentářů: 0
    Rozcestník

    Dotaz: KVM, qemu, libvirt a neprivilegovaný uživatel

    xkucf03 avatar 28.3.2010 00:17 xkucf03 | skóre: 49 | blog: xkucf03
    KVM, qemu, libvirt a neprivilegovaný uživatel
    Přečteno: 504×
    Ahoj, potřeboval bych nastavit virtualizaci (kvm-qemu-libvirt) tak, aby virtuální stroje běžely pod neprivilegovaným uživatelem a zároveň mi fungovala síť (most na br0).

    Uživatelské virtuály (qemu:///session) běží sice pod neprivilegovaným uživatelem, ale nefugnuje mi v nich tapnutí na br0*

    Systémové virtuály (qemu:///system) se k síti připojí a z tohoto hlediska fungují přesně jak potřebuji**. Ale proces kvm pak běží pod rootem, což se mi nelíbí. Uživatele i skupinu lze nastavit v /etc/libvirt/qemu.conf. To jsem udělal, ale dostanu chybu:
    virsh # start koala
    chyba: Nepodařilo se spustit doménu koala
    chyba: internal error unable to start guest: libvir: QEMU error : cannot change to '1003' group: Operation not permitted
    Na stránkách libvirtu jsem se dočetl, že:
    The directories /var/run/libvirt/qemu/, /var/lib/libvirt/qemu/ and /var/cache/libvirt/qemu/ must all have their ownership set to match the user / group ID that QEMU guests will be run as.
    Tak jsem všem těm adresářům (rekurzivně) nastavil příslušného vlastníka a skupinu, ale nepomohlo to – pořád stejná chyba. Napadá vás, co je ještě potřeba udělat?

    Ve /var/log/messages se při pokusu o start objeví:
    type=1505 audit(1269731294.962:131): operation="profile_load" pid=15278 name=libvirt-c3abdaf5-c5dc-9e5a-14ff-c734bcce1484
    device vnet0 entered promiscuous mode
    br0: port 2(vnet0) entering learning state
    type=1503 audit(1269731294.972:132): operation="capable" pid=15280 parent=15046 profile="libvirt-c3abdaf5-c5dc-9e5a-14ff-c734bcce1484" name="setgid"
    br0: port 2(vnet0) entering disabled state
    device vnet0 left promiscuous mode
    br0: port 2(vnet0) entering disabled state
    type=1505 audit(1269731295.204:133): operation="profile_remove" pid=15282 name=libvirt-c3abdaf5-c5dc-9e5a-14ff-c734bcce1484 namespace=default
    Radši bych používal ty uživatelské virtuály (qemu:///session), ale pokud v nich nefunguje síť (br0), tak se smířím i s těmi systémovými (qemu:///system), ale potřeboval bych změnit toho uživatele a skupinu, pod kterými to běží.

    *) Failed to add tap interface 'vnet%d' to bridge 'br0' : Permission denied (někde jsem se dočetl, že v libvirt tohle nefunguje a nepomohla ani úprava práv /dev/net/tun, takže už jsem to dál nezkoušel)

    **) akorát jsem musel shodit firewall (budu si muset upravit pravidla).
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Řešení dotazu:


    Odpovědi

    xkucf03 avatar 28.3.2010 00:42 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše apparmor
    Teď mne napadlo, že by to mohlo být ještě apparmorem. Ale v /etc/apparmor.d/usr.sbin.libvirtd kromě jiného je:
    capability setgid
    capability setuid
    To by mělo stačit ne?
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    michich avatar 28.3.2010 00:44 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Na hostitelském systému je jaká distribuce a verze? Např. u Fedory běží libvirtem spravované systémové guesty pod uživatelem 'qemu' až od verze 12. Byla to jedna z deklarovaných nových vlastností toho vydání: https://fedoraproject.org/wiki/Features/VirtPrivileges
    xkucf03 avatar 28.3.2010 00:54 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Ubuntu 9.10. A výchozí nastavení je, že ty systémové běží pod rootem.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    xkucf03 avatar 28.3.2010 22:28 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Problém se mi podařilo vyřešit :-) Mohl za to skutečně ten Apparmor – zakazoval toho víc než měl (i když je to zvláštní). Stačilo vypnout profil usr.sbin.libvirtd. Pak sem musel poštelovat ještě trochu práva (setfacl…), ale už KVM funguje, jak má.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    29.3.2010 06:08 zigi | skóre: 14
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    musel poštelovat ještě trochu práva (setfacl…)
    Muzu se zeptat kde vsude? Diky
    xkucf03 avatar 29.3.2010 11:04 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Je to zvláštní, protože uživatel qemu byl ve skupině, která měla příslušná práva, ale pomohlo tohle:
    setfacl -m u:qemu:rw /dev/kvm
    setfacl -m g:qemu:rw /dev/kvm
    Do té doby se nepoužívalo HW urychlení virtualizace, takže to bylo neskutečně pomalé a v kvm_stat nebyla vidět žádná činnost.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.