json - 如何解决 libvirt 中 qemu:commandline 的“权限被拒绝”错误？

Question

请在下面找到我的 dom xml 示例。我正在运行命令 virsh create 并收到此错误：

Unable to open file <json file located inside install_dir>

这个文件的权限都很好。

qemu:commandline标签下的参数是否需要特殊权限？无论我在本节中提到的参数和文件如何，我都会收到错误消息。

 <domain type='qemu' xmlns:qemu='http://libvirt.org/schemas/domain/qemu/1.0'>
  <name>my_instance</name>
  <uuid>35615c44-b004-4b3f-9f42-da182b9662ee</uuid>
  <memory unit='KiB'>786432</memory>
  <currentMemory unit='KiB'>786432</currentMemory>
  <vcpu placement='static'>1</vcpu>
  <os>
    <type arch='armv7l' machine='my_machine'>hvm</type>
    <kernel>/home/user/KernelPath/zImage</kernel>
    <dtb>/home/user/DTPPath/emmc.dtb</dtb>
  </os>
  <clock offset='utc'/>
  <on_poweroff>destroy</on_poweroff>
  <on_reboot>restart</on_reboot>
  <on_crash>destroy</on_crash>
  <devices>
    <emulator>/usr/bin/qemu-system-arm</emulator>
    <disk type='file' device='disk'>
      <driver name='qemu' type='raw'/>
      <source file='/home/user/Install_Dir/emmc.dat'/>
      <target dev='sd' bus='scsi'/>
      <address type='drive' controller='0' bus='0' target='0' unit='0'/>
    </disk>
    <controller type='usb' index='0'/>
    <controller type='scsi' index='0'/>
    <serial type='pty'>
      <target port='0'/>
    </serial>
    <serial type='pty'>
      <target port='1'/>
    </serial>
    <serial type='pty'>
      <target port='2'/>
    </serial>
    <serial type='pty'>
      <target port='3'/>
    </serial>
    <console type='pty'>
      <target type='serial' port='0'/>
    </console>
    <input type='mouse' bus='ps2'/>
    <input type='keyboard' bus='ps2'/>
    <graphics type='vnc' port='60316' autoport='no' websocket='60381' listen=''>
      <listen type='address' address=''/>
    </graphics>
    <graphics type='sdl'/>
    <video>
      <model type='qxl'/>
    </video>
    <memballoon model='none'/>
  </devices>
  <qemu:commandline>
    <qemu:arg value='-spdir'/>
    <qemu:arg value='/home/user/Install_Dir'/>
    <qemu:arg value='-show-cursor'/>
  </qemu:commandline>
</domain>

Answer 1

Libvirt 将尝试使用专用用户帐户（通常是qemu:qemu用户/组对）运行来宾，并应用SELinux 或 AppArmor 规则来限制它。通常 libvirt 会自动设置文件所有权并将 SELinux/AppArmor 策略设置为“正常工作”。qemu 命令行直通虽然是 libvirt 的黑盒，但它不知道它需要你的/home/user/Install_Dir路径。如果您的用户/组所有权是正确的，那么它可能是拒绝访问的 SELinux/AppArmor 策略。唯一可行的解​​决方法是禁用它们（通过/etc/libvirt/qemu.conf），并接受较低的安全保护

Answer 2

不建议以 root 权限运行 QEMU，因为从版本 6.0.0 开始，它不会剥夺 Linux 的功能。

就我而言，它是 AppArmor。我想为 VM 添加电池的 SSDT 文件。AppArmor 允许访问某些文件夹，而不允许访问其他文件夹（如/home/something）。/var/lib/libvirt/images/是允许的文件夹之一。尽管我将文件放在那里，但 AppArmor 政策仍然不允许这样做（如 中所示sudo cat /var/log/kern.log | grep -C 10 apparmor | grep -C 10 qemu）。起作用的是/var/lib/libvirt/images/SSDT1.dat rk像/etc/apparmor.d/libvirt/TEMPLATE.qemu这样添加：

#
# This profile is for the domain whose UUID matches this file.
#

#include <tunables/global>

profile LIBVIRT_TEMPLATE flags=(attach_disconnected) {
  #include <abstractions/libvirt-qemu>
  /var/lib/libvirt/images/SSDT1.dat rk,
}