QEMU/KVM: จะป้องกันการเข้าถึงมอนิเตอร์ได้อย่างไร?

คุณสามารถใช้ SSH เพื่อเข้าถึงซ็อกเก็ตดังกล่าวได้อย่างปลอดภัย โดยใช้ประโยชน์จากตัวเลือกความปลอดภัยที่มีให้โดย SSH คุณไม่จำเป็นต้อง โซแคท เลย เนื่องจาก SSH อนุญาตให้ส่งต่อ socket-to-socket หรือ tcp-to-socket ผ่าน -L ตัวเลือก:

     -L [bind_address:] พอร์ต:โฮสต์:โฮสต์พอร์ต
     -L [bind_address:]พอร์ต:remote_socket
     -L local_socket:host:hostport
     -L local_socket:remote_socket

เช่น. ถ้าคุณ คิวมู กระบวนการทำงานด้วย -monitor ยูนิกซ์:/my_path/my_fifo,เซิร์ฟเวอร์,nowait ตัวเลือก, ใช้ ssh virtualization-host -L /tmp/monitor:/my_path/my_fifo เพื่อเชื่อมต่อ จากนั้นเชื่อมต่อกับซ็อกเก็ตภายในเครื่อง /tmp/มอนิเตอร์หรือใช้ ssh virtualization-host -L 12345:/my_path/my_fifo และเทลเน็ตถึง localhost:12345 (ไคลเอนต์ SSH จะฟังเฉพาะบน localhost ในกรณีนี้)

เพื่อให้ได้ความปลอดภัยที่ดีขึ้น ให้ใช้คีย์ SSH เพื่อเชื่อมต่อกับจอภาพ บนโฮสต์การจำลองเสมือนระยะไกล ให้สร้างผู้ใช้ที่จะมี แถว สิทธิบน /my_path/my_fifo วัตถุ. สร้างคู่คีย์และใส่รหัสสาธารณะในของผู้ใช้นั้น ~/.ssh/authorized_keys ไฟล์ในลักษณะที่จำกัดเพื่อให้ส่งต่อได้เท่านั้น:

limit,port-forwarding,command="/bin/false" ssh-... ..... (สตริงคีย์สาธารณะ)

ในการเชื่อมต่อ ให้ใช้คำสั่งที่ไม่ได้จัดสรรเชลล์และไม่รันคำสั่ง ซึ่งมีประโยชน์สำหรับการส่งต่อเท่านั้น:

ssh monitoruser@virtualization-host -i mointor_private_key -L 12345:/my_path/my_fifo -N

และสุดท้าย ใช้ telnet localhost 12345 เพื่อเข้าถึงซ็อกเก็ตมอนิเตอร์ที่ส่งต่อผ่าน SSH