Red Hat Summit Red Hat SummitApoyoConsolaDesarrolladoresIniciar una pruebaContacto

15.6. Configuración de IBM Secure Execution en IBM Z

Si utiliza hardware IBM Z para ejecutar un host RHEL 8, puede mejorar la seguridad de sus máquinas virtuales (VM) configurando IBM Secure Execution para las VM.

IBM Secure Execution, también conocida como Virtualización Protegida, impide que el sistema anfitrión acceda al estado y al contenido de la memoria de una máquina virtual. Como resultado, incluso si el host está comprometido, no puede ser utilizado como un vector para atacar el sistema operativo invitado. Además, la Ejecución Segura puede utilizarse para evitar que los hosts no confiables obtengan información sensible de la VM.

El siguiente procedimiento describe cómo convertir una VM existente en un host IBM Z en una VM segura.

Requisitos previos

  • El hardware del sistema es uno de los siguientes:

    • IBM z15 o posterior
    • IBM LinuxONE III o posterior

  • La función de ejecución segura está activada en su sistema. Para comprobarlo, utilice: 

    # grep facilities /proc/cpuinfo | grep 158
    Copy to Clipboard Toggle word wrap

    Si este comando muestra alguna salida, su CPU es compatible con la ejecución segura.

  • El kernel incluye soporte para la Ejecución Segura. Para confirmarlo, utilice: 

    # ls /sys/firmware | grep uv
    Copy to Clipboard Toggle word wrap

    Si el comando genera alguna salida, su kernel soporta la Ejecución Segura.

  • El modelo de CPU del host contiene la función unpack. Para confirmarlo, utilice: 

    # virsh domcapabilities | grep unpack
<feature policy='require' name='unpack'/>
    Copy to Clipboard Toggle word wrap

    Si el comando genera la salida anterior, su modelo de CPU es compatible con la ejecución segura.

  • El modo de CPU de la VM está configurado en host-model. Para confirmarlo, utilice lo siguiente y sustituya vm-name por el nombre de su VM. 

    # virsh dumpxml vm-name | grep "<cpu mode='host-model'/>"
    Copy to Clipboard Toggle word wrap

    Si el comando genera alguna salida, el modo de CPU de la VM está configurado correctamente.

  • Ha obtenido y verificado el documento de clave de host de IBM Z. Para obtener instrucciones para hacerlo, consulte Verificación del documento de clave de host en la documentación de IBM.

Procedimiento

  1. Añade el parámetro del kernel prot_virt=1 a la configuración de arranque del host. 

    # # grubby --update-kernel=ALL --args="prot_virt=1"
    Copy to Clipboard Toggle word wrap

  2. Cree un archivo de parámetros para la máquina virtual que desea proteger. Por ejemplo: 

    # touch ~/secure-parameters
    Copy to Clipboard Toggle word wrap

  3. En el directorio /boot/loader/entries del host, identifique la entrada del gestor de arranque con la última versión: 

    # ls /boot/loader/entries -l
[...]
-rw-r--r--. 1 root root  281 Oct  9 15:51 3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf
    Copy to Clipboard Toggle word wrap

  4. Recupera la línea de opciones del kernel de la entrada del gestor de arranque: 

    # cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options
options root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap
    Copy to Clipboard Toggle word wrap

  5. Añade el contenido de la línea de opciones y swiotlb=262144 al archivo de parámetros creado. 

    # echo "root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parameters
    Copy to Clipboard Toggle word wrap

  6. Generar una imagen de IBM Secure Execution para la VM seleccionada.

    Por ejemplo, lo siguiente crea una imagen segura /boot/secure-image basada en la imagen /boot/vmlinuz-4.18.0-240.el8.s390x, utilizando el archivo secure-parameters, el archivo de disco RAM inicial /boot/initramfs-4.18.0-240.el8.s390x.img y el documento de clave de host HKD-8651-000201C048.crt. 

    # genprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-image
    Copy to Clipboard Toggle word wrap

    Utilizando la utilidad genprotimg se crea la imagen segura, que contiene los parámetros del kernel, el disco RAM inicial y la imagen de arranque.

  7. En el sistema operativo invitado de la VM, actualice el menú de arranque de la VM para arrancar desde la imagen segura. Además, elimine las líneas que comienzan con initrd y options, ya que no son necesarias.

    Por ejemplo, en una VM RHEL 8.3, el menú de arranque se puede editar en el directorio /boot/loader/entries/: 

    # cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf
title Red Hat Enterprise Linux 8.3
version 4.18.0-240.el8.s390x
linux /boot/secure-image
[...]
    Copy to Clipboard Toggle word wrap

  8. Habilita los dispositivos virtio para que utilicen buffers compartidos. Para ello, utilice virsh edit para modificar la configuración XML de la VM, y añada iommu='on' a la línea <driver> de todos los dispositivos que lo tengan. Por ejemplo: 

    <interface type='network'>
  <source network='default'/>
  <model type='virtio'/>
  <driver name='vhost' iommu='on'/>
</interface>
    Copy to Clipboard Toggle word wrap

    Si la configuración de un dispositivo no contiene ninguna línea <driver>, añada en su lugar <driver iommu='on'\>.

  9. Desactivar el memory ballooning en la VM, ya que esta característica no es compatible con la Ejecución Segura. Para ello, añada la siguiente línea a la configuración XML de la máquina virtual. 

    <memballoon model='none'/>
    Copy to Clipboard Toggle word wrap

  10. Crear la imagen de disco de arranque 

    # zipl -V
    Copy to Clipboard Toggle word wrap

  11. Eliminar de forma segura los archivos originales no protegidos. Por ejemplo: 

    # shred /boot/vmlinuz-4.18.0-240.el8.s390x
# shred /boot/initramfs-4.18.0-240.el8.s390x.img
# shred secure-parameters
    Copy to Clipboard Toggle word wrap

    La imagen de arranque original, la imagen de RAM inicial y el archivo de parámetros del kernel están desprotegidos y, si no se eliminan, las máquinas virtuales con la ejecución segura activada pueden seguir siendo vulnerables a los intentos de piratería o a la extracción de datos sensibles.

Verificación

  • En el host, utilice la utilidad virsh dumpxml para confirmar la configuración XML de la máquina virtual protegida. La configuración debe incluir los elementos <driver iommu='on'/> y <memballoon model='none'/>. 

    # virsh dumpxml vm-name
[...]
  <cpu mode='host-model'/>
  <devices>
    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2' cache='none' io='native' iommu='on'>
      <source file='/var/lib/libvirt/images/secure-guest.qcow2'/>
      <target dev='vda' bus='virtio'/>
    </disk>
    <interface type='network'>
      <driver iommu='on'/>
      <source network='default'/>
      <model type='virtio'/>
    </interface>
    <console type='pty'/>
    <memballoon model='none'/>
  </devices>
</domain>
    Copy to Clipboard Toggle word wrap

Recursos adicionales

Volver arriba
Red Hat logoGithubredditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar. Explore nuestras recientes actualizaciones.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

Theme

© 2025 Red Hat