你可以用一个组来保护 /dev/kvm。将 /dev/kvm 所有权转移给该组，以便不授予 root 权限。 这个链接解释了如何做，这里是直接引用：

最干净的方法可能是创建一个组，例如 kvm，并将用户添加到该组。然后您需要将 /dev/kvm 更改为由组 kvm 拥有。

在运行 udev 的系统上，您可能需要在 udev 配置中的某处添加以下行，以便它会自动将正确的组分配给新创建的设备（即对于 ubuntu，添加一行到 /etc/udev/rules.d /40-permissions.rules）。

内核==“kvm”，组=“kvm”

要回答您的问题，让他们访问 /dev/kvm 没有危险。 这篇文章解释了较新的内存管理提供了防止换出大量内存的保护。