Versteckte Kontrollzentrale
Sofern die virtuelle Maschine ihre Bildschirmausgaben in ein Fenster schreiben darf, wechseln Sie mit der Tastenkombination “Strg + Alt + 2” in den sogenannten Monitor (Bild 4). In ihm können Sie unter anderem das System neu starten oder die virtuelle DVD wechseln. Läuft die virtuelle Maschine auf einem Server ohne Grafikausgabe, lässt sich der Monitor auch umleiten. Der folgende Befehl macht die Konsole beispielsweise über eine TCP-Verbindung an Port 4444 verfügbar:
qemu-kvm -monitor tcp::4444,server,nowait [...]
Die komplette Kommunikation läuft dabei unverschlüsselt ab (Bild 5). Folglich kann sich jeder mit Telnet an die virtuelle Maschine andocken und diese nach Lust und Laune verändern. Als Administrator sollten Sie daher zumindest den Zugriff auf einen ausgewählten Rechner beschränken, im folgenden Beispiel auf den mit der IP-Adresse 192.168.100.21:
qemu-kvm -monitor tcp:192.168.100.21:4444,server, nowait [...]
Idealerweise sollten Sie jedoch auf diesen Zugang verzichten und stattdessen die libvirt-Werkzeuge und dort insbesondere die virsh heranziehen. Letztgenannte erlaubt den direkten Aufruf von Monitor-Kommandos über den Befehl qemu-monitor-command.
Standardmäßig erhält jede neu erstellte virtuelle Maschine einen seriellen Port, über den sich Administratoren etwa via virsh console verbinden können. Die Konsole lässt sich sogar wie der Monitor umleiten, etwa an die reale serielle Schnittstelle des Wirts oder über TCP [4]. Welche (Boot-)Meldungen auf dieser Konsole zu sehen sind, hängt vom Gast ab. Je nach Konfiguration können Sie sich darüber sogar anmelden. Das ist zwar für die Fernwartung einer bildschirmlosen virtuellen Maschine nützlich, allerdings erfolgt auch hier die Kommunikation unverschlüsselt. Sie sollten deshalb nicht die Ausgaben des Gastsystems auf die serielle Schnittstelle umleiten, sondern stattdessen eine sichere Verbindungsmethode wie etwa SSH verwenden.
Bild 4: Den Monitor
kann ein Administrator ...
Mit oder ohne Bild
Die Bildschirmausgaben der VM schreibt QEMU standardmäßig in ein Fenster auf dem Desktop des Wirts. Alternativ lässt sich ein in QEMU eingebauter VNC-Server aktivieren. Den Desktop der VM zeigt dann ein VNC-Client an. Standardmäßig muss dieser VNC-Client auf dem gleichen Rechner wie die virtuelle Maschine laufen, QEMU lässt nur Verbindungen von der IP-Adresse 127.0.0.1 zu. Sie können diese Voreinstellung jedoch mit dem Parameter “-vnc” aushebeln:
qemu-kvm -vnc :1 [...]
Mit dieser in vielen Anleitungen genannten Einstellung dürfte sich jedoch jeder mit dem VNC-Server verbinden. Besitzt der Wirtsrechner die IP-Adresse 192.
168.100.21, holt folgender Befehl den Schirm der ersten VM auf den Desktop des Administrators (Bild 6):
vncviewer 192.168.100.21:5901
Haben Sie nun vergessen, sich auf dem Gastsystem abzumelden, erhält der Angreifer das System auf dem Präsentierteller. Aus dem gleichen Grund sollten Sie auch nicht gedankenlos mit virt-install und dem Parameter “--graphics” den VNC-Server freigeben, auch wenn das eine Ferninstallation erleichtert. Die TCP-Ports sind dabei bekannt, KVM nutzt standardmäßig die Nummern von 5900 aufwärts (der Port berechnet sich aus der Zahl 5900 plus der Display-Nummer).
Ähnliche Artikel
-
QEMU 2 als vielseitige Virtualisierungsplattform
- Verschlüsselung mit Libvirt
-
Live-Snapshots mit Virtual Machine Manager
-
ADMIN-Tipp: Hotplugging von Disks in KVM
Um einer virtuellen Maschine neue Disks hinzuzufügen, muss man sie nicht herunterfahren.
- Virtualisierung mit KVM
Konfigurationsmanagement
Themen
