Zusätzlich sollten Administratoren eine Verschlüsselung nutzen. libvirtd und seine Werkzeuge können ihre Kommunikation wahlweise über SSH tunneln, eine Authentifizierung via SASL/Kerberos nutzen oder eine mit SSL/TLS verschlüsselte TCP-Verbindung aufbauen. In den meisten Fällen dürfte eine SSH-Verbindung infrage kommen, für die auf dem Wirtssystem ein SSH-Server laufen muss. Da Root-Rechte notwendig sind, erfolgt der Verbindungsaufbau dann etwa mit:
virt-manager -c qemu+ssh://root@example.com/system
Aus Sicherheitsgründen sollte der SSH-Server allerdings eine Anmeldung als Benutzer “root” verweigern. Als Kompromiss bietet sich eine Authentifizierung über Zertifikate beziehungsweise Public/Private-Keys an. Bei einer Verschlüsselung via SSL/TLS sollten Sie in der Konfigurationsdatei /etc/libvirt/libvirtd.conf auch die Port-Nummer ändern. Das erschwert zumindest direkte Angriffe. Auch prüfen Sie noch den Inhalt der Umgebungsvariablen “LIBVIRT_DEFAULT_URI”. Sie gibt den URI vor, den virsh und virt-manager standardmäßig zum Aufbau einer Verbindung nutzen. Enthält die Variable beispielsweise den Wert: “qemu://host/system”, baut virsh ohne weitere Parameter eine unverschlüsselte Verbindung auf.
Noch gefährlicher wird es, wenn Sie einfach Geräte des Wirtes in die virtuelle Maschine durchreichen. Binden Sie etwa ein Dateisystem in die VM ein, das auch noch andere Rechner im LAN sehen, könnte der infizierte Gast über diese Durchreiche Schadprogramme verteilen, Konfigurationsdateien ändern oder vorhandene Dokumente zerstören – die wertvollen Projektdateien auf dem NAS wären dann hinüber. Daher sollten Sie sich gut überlegen, welche Dateisysteme Sie in welche virtuelle Maschine hängen. Im Idealfall nutzt die VM nur eigene Image-Dateien.
Nicht nur ausgewählte USB-Geräte, sondern auch ein kompletter USB-Port lässt sich in die virtuelle Maschine durchreichen (Bild 3). Im folgenden Beispiel landen alle Geräte am Port 1.1 von Bus 2 in der virtuellen Maschine:
qemu-kvm -usb -device usb-host, hostbus=2,hostport=1.1 [...]
Dabei besteht jedoch die Gefahr, dass jemand einen infizierten USB-Stick an den Wirtsrechner anschließt und so Schadsoftware in die VM einschleust. Analoges gilt für DVD-Laufwerke, über die sich unter Umständen sogar ein Live-System starten lässt.