有没有人知道一种方法来限制使用dom0(即xm命令)到一定的命令子集? 在我的情况下,我想阻止dom0用户做任何事情,除了恢复已保存的domU。
我猜测,因为你需要是root用户才能使用xm工具,所以我不能限制权力。 我很乐意听取其他方法来实现我的目标。
在不修改xend以不支持某些操作的情况下,您不能阻止访问dom0的人启动新的domU,因为想要启动新的domU的用户只能发出API命令。 老实说,限制xm命令是有点危险的,因为domU可能会崩溃,需要重新启动。
另外,如果某个不能被信任的人不在不适当的时候启动虚拟机,那么你的权限就是根深蒂固的。 相反,考虑将需要执行这些有限操作的用户限制为非root用户,并提供一个启用了sudo的包装脚本,以便以批准的方式操作VM状态。