15.3. Creación de una máquina virtual SecureBoot
A continuación se ofrecen instrucciones para crear una máquina virtual (VM) Linux que utilice la función SecureBoot, que garantiza que su VM ejecute un SO firmado criptográficamente. Si el SO invitado de una VM ha sido alterado por un malware, SecureBoot impide que la VM arranque, lo que detiene la posible propagación del malware a su máquina anfitriona.
Requisitos previos
- La VM está utilizando el tipo de máquina Q35.
El paquete
edk2-OVMFestá instalado:# yum install edk2-ovmfUna fuente de instalación del sistema operativo (SO) está disponible localmente o en una red. Puede ser uno de los siguientes formatos:
- Una imagen ISO de un medio de instalación
- Una imagen de disco de una instalación VM existente
- Opcional: Se puede proporcionar un archivo Kickstart para una configuración más rápida y sencilla de la instalación.
Procedimiento
Utilice el comando
virt-installpara crear una VM como se detalla en Sección 2.2.1, “Creación de máquinas virtuales mediante la interfaz de línea de comandos”. Para la opción--boot, utilice el valoruefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd. Esto utiliza los archivosOVMF_VARS.secboot.fdyOVMF_CODE.secboot.fdcomo plantillas para la configuración de la RAM no volátil (NVRAM) de la VM, lo que permite la función SecureBoot.Por ejemplo:
# virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.iso- Siga el procedimiento de instalación del sistema operativo según las instrucciones que aparecen en la pantalla.
- Una vez instalado el SO huésped, acceda a la línea de comandos de la VM abriendo el terminal en la consola gráfica del huésped o conectándose al SO huésped mediante SSH.
Compruebe que SecureBoot está activado mediante el comando
mokutil --sb-state:# mokutil --sb-state SecureBoot enabled
