QEMU/KVM: como proteger o acesso do monitor?

Você pode usar o SSH para acessar esse soquete com segurança, aproveitando as opções de segurança fornecidas pelo SSH. Você não precisa socatde nada, porque o SSH permite o encaminhamento de soquete para soquete ou tcp para soquete via -Lopção:

     -L [bind_address:]port:host:hostport
     -L [bind_address:]port:remote_socket
     -L local_socket:host:hostport
     -L local_socket:remote_socket

Por exemplo, se o seu qemuprocesso for executado com -monitor unix:/my_path/my_fifo,server,nowaitopção, use ssh virtualization-host -L /tmp/monitor:/my_path/my_fifopara conectar e, em seguida, conecte-se ao socket local /tmp/monitorou use ssh virtualization-host -L 12345:/my_path/my_fifoe telnet para localhost:12345(o cliente SSH ouvirá apenas no localhost neste caso).

Para obter melhor segurança, use chaves SSH para se conectar aos monitores. No host de virtualização remota, crie um usuário que terá rwdireitos sobre o /my_path/my_fifoobjeto. Crie um par de chaves e coloque a chave pública no ~/.ssh/authorized_keysarquivo desse usuário de forma restrita para permitir apenas o encaminhamento:

restrict,port-forwarding,command="/bin/false" ssh-... ..... (the public key string)

Para conectar, use um comando que não aloque um shell e não execute um comando, útil apenas para encaminhamentos:

ssh monitoruser@virtualization-host -i mointor_private_key -L 12345:/my_path/my_fifo -N

e, finalmente, use telnet localhost 12345para acessar o soquete do monitor encaminhado via SSH.