19.5. Fonctionnalités automatiques pour la sécurité des machines virtuelles
Outre les moyens manuels d'améliorer la sécurité de vos machines virtuelles énumérés dans la section Meilleures pratiques pour sécuriser les machines virtuelles, un certain nombre de fonctions de sécurité sont fournies par la suite logicielle libvirt et sont automatiquement activées lors de l'utilisation de la virtualisation dans RHEL 9. Ces fonctions incluent
- Connexions au système et à la session
Pour accéder à tous les utilitaires disponibles pour la gestion des machines virtuelles dans RHEL 9, vous devez utiliser le site system connection de libvirt (
qemu:///system
). Pour ce faire, vous devez avoir les privilèges de root sur le système ou faire partie du groupe d'utilisateurs libvirt.Les utilisateurs non root qui ne font pas partie du groupe libvirt ne peuvent accéder qu'à un session connection de libvirt (
qemu:///session
), qui doit respecter les droits d'accès de l'utilisateur local lorsqu'il accède aux ressources. Par exemple, en utilisant la connexion de session, vous ne pouvez pas détecter ou accéder aux machines virtuelles créées dans la connexion système ou par d'autres utilisateurs. En outre, les options de configuration de la mise en réseau des machines virtuelles sont considérablement limitées.NoteLa documentation de RHEL 9 suppose que vous disposez des privilèges de connexion au système.
- Séparation des machines virtuelles
- Les VM individuelles s'exécutent en tant que processus isolés sur l'hôte et s'appuient sur la sécurité mise en œuvre par le noyau de l'hôte. Par conséquent, une VM ne peut pas lire ou accéder à la mémoire ou au stockage d'autres VM sur le même hôte.
- QEMU sandboxing
- Fonctionnalité qui empêche le code QEMU d'exécuter des appels système susceptibles de compromettre la sécurité de l'hôte.
- Randomisation de l'espace d'adressage du noyau (KASLR)
- Permet de randomiser les adresses physiques et virtuelles auxquelles l'image du noyau est décompressée. Ainsi, KASLR empêche les exploits de sécurité de l'invité basés sur l'emplacement des objets du noyau.