TLS сокет Libvirt не привязывается к конкретному IP-адресу.

Вопрос или проблема

listen_tls=1
listen_tcp=0
tls_port="16514"
listen_addr="10.10.10.254"
auth_tls="none"

systemctl stop libvirtd
systemctl enable --now libvirtd-tcp.socket libvirtd-tls.socket

tcp   LISTEN 0      1000                *:16514            *:*  

Ответ или решение

Для решения проблемы с привязкой сокета TLS libvirt к определенному IP-адресу в Linux, основной проблемой, как правило, является неправильная конфигурация или некорректно настроенные параметры. Ваша цель заключается в том, чтобы демона libvirt слушал входящие подключения только на определенном IP-адресе. Рассмотрим теорию, приведём пример и обсудим применение.

Теория

Libvirt – это инструмент для управления виртуальными объектами, такими как виртуальные машины и хосты на системе Linux. Он может быть настроен для работы с TLS (Transport Layer Security) для обеспечения более высокой безопасности при взаимодействии с другими хостами или управлением виртуальными машинами.

Несмотря на ваши усилия изменить файл конфигурации libvirtd.conf, по умолчанию libvirt может все равно слушать на всех интерфейсах (что и показано в вашем выводе команды ss). Есть несколько моментов, которые стоит учесть:

1. Службы и сокеты Systemd: Когда вы используете systemd для управления libvirt, он обычно использует файлы сокетов для активации демонов, таких как libvirtd-tls.socket. Такая схема активации предопределяет использование конкретных файлов юнитов, которые могут игнорировать настройки конфигурационного файла libvirtd.conf.

2. Файл конфигурации: listen_addr в libvirtd.conf должен быть правильно указан. Однако, с учетом использования systemd и сокетов, иногда могут быть дополнительные элементы, которые нужно учитывать, например, конфигурационные файлы системного уровня.

Пример

Рассмотрим пример, как решить данную проблему. Для этого необходимо убедиться в правильности настройки конфигурации и управления службой:

1. Проверка Systemd юнитов: Убедитесь, что файлы юнитов systemd корректно настроены:

   • Откройте /etc/systemd/system/libvirtd-tls.socket с помощью вашего любимого текстового редактора (например, nano или vi):

     [Socket]
     ListenStream=10.10.10.254:16514

   Если указан ListenStream=*, это будет означать, что systemd будет игнорировать ваши конфигурации из libvirtd.conf.

2. Перезагрузка systemd-демонов:

   После редактирования файлов юнитов, обязательно перезагрузите systemd-менеджер, чтобы применить изменения:

   systemctl daemon-reload
   systemctl restart libvirtd-tls.socket
   systemctl restart libvirtd

3. Проверка привязки: Используйте команду ss -tulns | grep 16514, чтобы убедиться, что порты прослушиваются только на указанном IP-адресе.

Применение

Ваша задача — обеспечить, чтобы libvirt корректно слушал только на определённом интерфейсе, что может быть критично для безопасности и сегментации вашей сети. Следуя данным шагам, вы минимизируете возможность прослушивания на всех интерфейсах, что в свою очередь уменьшает поверхность атак.

Есть дополнительные рекомендации и практики:

• Вопросы безопасности: Убедитесь, что ваша система и используемые конфигурации соответствуют лучшим практикам безопасного администрирования услуг, таких как libvirt. Это включает в себя использования брандмауэров и контроль доступа.

• Мониторинг и логирование: Настройте системы мониторинга, чтобы вы могли отследить возможность изменения конфигураций или несанкционированного доступа.

• Документация: Ведите документацию о произведённых изменениях и сохраните резервные копии конфигураций перед внесением изменений.

Следуя этому подходу и учитывая описанные шаги по настройке systemd и libvirt, можно добиться стабильной работы демонов только на указанном IP-адресе, обеспечив тем самым необходимую безопасность и управляемость.