<div dir="ltr"><div dir="ltr">On Tue, 30 Apr 2019 at 16:43, Michal Privoznik <<a href="mailto:mprivozn@redhat.com">mprivozn@redhat.com</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Long story short, why bother with /system if you can't use it and not <br>
use /session instead?<br>
<br></blockquote><div>Because according to the FAQ, /session isn't suitable for my use:</div><div>
<ul><li>You will definitely want to use qemu:///system if your VMs are acting
as servers. VM autostart on host boot only works for 'system' 
[Yes, my VMs are acting as servers]</li><li>the root libvirtd instance has necessary permissions to use proper
networkings via bridges or virtual networks. [Yes, I use OVS, with quite a complex bridge+VLAN system configured at boot]</li><li>qemu:///session has a serious drawback: [...] the only out of the box network option
is qemu's usermode networking, which has nonobvious limitations, so its
usage is discouraged. </li></ul>

</div><div>(Source: <a href="https://wiki.libvirt.org/page/FAQ#What_is_the_difference_between_qemu:.2F.2F.2Fsystem_and_qemu:.2F.2F.2Fsession.3F_Which_one_should_I_use.3F">https://wiki.libvirt.org/page/FAQ#What_is_the_difference_between_qemu:.2F.2F.2Fsystem_and_qemu:.2F.2F.2Fsession.3F_Which_one_should_I_use.3F</a>)</div><div><br></div><div>So I have to use /system, according to the FAQ.  But it'd be nice to nail the daemon down to reduce the attack surface.</div><div><br></div><div>- Peter<br></div></div></div></div>