abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    včera 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    včera 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 15
    včera 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 16
    13.7. 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 11
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    11.7. 00:11 | Nová verze

    Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    10.7. 21:00 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 4
    10.7. 15:22 | Nová verze

    Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.

    Ladislav Hagara | Komentářů: 12
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 393 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: KVM, qemu, libvirt a neprivilegovaný uživatel

    xkucf03 avatar 28.3.2010 00:17 xkucf03 | skóre: 49 | blog: xkucf03
    KVM, qemu, libvirt a neprivilegovaný uživatel
    Přečteno: 536×
    Ahoj, potřeboval bych nastavit virtualizaci (kvm-qemu-libvirt) tak, aby virtuální stroje běžely pod neprivilegovaným uživatelem a zároveň mi fungovala síť (most na br0).

    Uživatelské virtuály (qemu:///session) běží sice pod neprivilegovaným uživatelem, ale nefugnuje mi v nich tapnutí na br0*

    Systémové virtuály (qemu:///system) se k síti připojí a z tohoto hlediska fungují přesně jak potřebuji**. Ale proces kvm pak běží pod rootem, což se mi nelíbí. Uživatele i skupinu lze nastavit v /etc/libvirt/qemu.conf. To jsem udělal, ale dostanu chybu:
    virsh # start koala
    chyba: Nepodařilo se spustit doménu koala
    chyba: internal error unable to start guest: libvir: QEMU error : cannot change to '1003' group: Operation not permitted
    Na stránkách libvirtu jsem se dočetl, že:
    The directories /var/run/libvirt/qemu/, /var/lib/libvirt/qemu/ and /var/cache/libvirt/qemu/ must all have their ownership set to match the user / group ID that QEMU guests will be run as.
    Tak jsem všem těm adresářům (rekurzivně) nastavil příslušného vlastníka a skupinu, ale nepomohlo to – pořád stejná chyba. Napadá vás, co je ještě potřeba udělat?

    Ve /var/log/messages se při pokusu o start objeví:
    type=1505 audit(1269731294.962:131): operation="profile_load" pid=15278 name=libvirt-c3abdaf5-c5dc-9e5a-14ff-c734bcce1484
    device vnet0 entered promiscuous mode
    br0: port 2(vnet0) entering learning state
    type=1503 audit(1269731294.972:132): operation="capable" pid=15280 parent=15046 profile="libvirt-c3abdaf5-c5dc-9e5a-14ff-c734bcce1484" name="setgid"
    br0: port 2(vnet0) entering disabled state
    device vnet0 left promiscuous mode
    br0: port 2(vnet0) entering disabled state
    type=1505 audit(1269731295.204:133): operation="profile_remove" pid=15282 name=libvirt-c3abdaf5-c5dc-9e5a-14ff-c734bcce1484 namespace=default
    Radši bych používal ty uživatelské virtuály (qemu:///session), ale pokud v nich nefunguje síť (br0), tak se smířím i s těmi systémovými (qemu:///system), ale potřeboval bych změnit toho uživatele a skupinu, pod kterými to běží.

    *) Failed to add tap interface 'vnet%d' to bridge 'br0' : Permission denied (někde jsem se dočetl, že v libvirt tohle nefunguje a nepomohla ani úprava práv /dev/net/tun, takže už jsem to dál nezkoušel)

    **) akorát jsem musel shodit firewall (budu si muset upravit pravidla).
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Řešení dotazu:


    Odpovědi

    xkucf03 avatar 28.3.2010 00:42 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše apparmor
    Teď mne napadlo, že by to mohlo být ještě apparmorem. Ale v /etc/apparmor.d/usr.sbin.libvirtd kromě jiného je:
    capability setgid
    capability setuid
    To by mělo stačit ne?
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    michich avatar 28.3.2010 00:44 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Na hostitelském systému je jaká distribuce a verze? Např. u Fedory běží libvirtem spravované systémové guesty pod uživatelem 'qemu' až od verze 12. Byla to jedna z deklarovaných nových vlastností toho vydání: https://fedoraproject.org/wiki/Features/VirtPrivileges
    xkucf03 avatar 28.3.2010 00:54 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Ubuntu 9.10. A výchozí nastavení je, že ty systémové běží pod rootem.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    xkucf03 avatar 28.3.2010 22:28 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Problém se mi podařilo vyřešit :-) Mohl za to skutečně ten Apparmor – zakazoval toho víc než měl (i když je to zvláštní). Stačilo vypnout profil usr.sbin.libvirtd. Pak sem musel poštelovat ještě trochu práva (setfacl…), ale už KVM funguje, jak má.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    29.3.2010 06:08 zigi | skóre: 14
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    musel poštelovat ještě trochu práva (setfacl…)
    Muzu se zeptat kde vsude? Diky
    xkucf03 avatar 29.3.2010 11:04 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: KVM, qemu, libvirt a neprivilegovaný uživatel
    Je to zvláštní, protože uživatel qemu byl ve skupině, která měla příslušná práva, ale pomohlo tohle:
    setfacl -m u:qemu:rw /dev/kvm
    setfacl -m g:qemu:rw /dev/kvm
    Do té doby se nepoužívalo HW urychlení virtualizace, takže to bylo neskutečně pomalé a v kvm_stat nebyla vidět žádná činnost.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.