Qemu镜像安全加密测试_qemu加密盘，离开小厂进大厂的第一周

VirtualMachines

/home/VirtualMachines

这是一个目录类型的存储池，必须先用mkdir创建/home/VirtualMachines目录

#virsh pool-define xxxx.xml

1.5.在存储池中创建一个镜像

cat demo-disk.xml

demo.qcow2 5368709120

virsh vol-create VirtualMachines demo-disk.xml

Vol demo.qcow2 created from demo-disk.xml

可以查看该demo.qcow2的信息

file demo.qcow2

demo.qcow2: QEMU QCOW Image (v2), 5368709120 bytes, AES-encrypted.

这里注意，该’passphrase’ 并没有按照例子设置具体值，也能正常工作。

1.6.在虚拟机中使用该镜像

cat demo-guest.xml

demo 500200 4 hvm /home/vmlinuz-PAE /home/initrd-PAE.img /usr/bin/qemu-kvm

这是一个空硬盘，可以直接用内核文件vmlinuz和initrd做PXE启动。

2.弃用以上加密方式

2.1.原作者Daniel Berrange的观点

A. AES-CBC加密算法本身很脆弱，容易受到选择明文攻击
B. 本实现直接用的1.3小节中的passphrase当作加密密钥，密钥的选择不安全，太短并且缺乏随机性
C. 当加密被入侵之后，没有机制可以修改密钥，镜像安全得不到保证

2.2.Markus Armbruster更深入的操作

首先创建三个文件4

[root@localhost home]# qemu-img create -f raw backing.img 4m
Formatting ‘backing.img’, fmt=raw size=4194304
[root@localhost home]# qemu-img create -f qcow2 -o encryption,backing_file=backing.img,backing_fmt=raw geheim.qcow2 4m
Formatting ‘geheim.qcow2’, fmt=qcow2 size=4194304 backing_file