Rechercher

19.5. Fonctionnalités automatiques pour la sécurité des machines virtuelles

download PDF

Outre les moyens manuels d'améliorer la sécurité de vos machines virtuelles énumérés dans la section Meilleures pratiques pour sécuriser les machines virtuelles, un certain nombre de fonctions de sécurité sont fournies par la suite logicielle libvirt et sont automatiquement activées lors de l'utilisation de la virtualisation dans RHEL 9. Ces fonctions incluent

Connexions au système et à la session

Pour accéder à tous les utilitaires disponibles pour la gestion des machines virtuelles dans RHEL 9, vous devez utiliser le site system connection de libvirt (qemu:///system). Pour ce faire, vous devez avoir les privilèges de root sur le système ou faire partie du groupe d'utilisateurs libvirt.

Les utilisateurs non root qui ne font pas partie du groupe libvirt ne peuvent accéder qu'à un session connection de libvirt (qemu:///session), qui doit respecter les droits d'accès de l'utilisateur local lorsqu'il accède aux ressources. Par exemple, en utilisant la connexion de session, vous ne pouvez pas détecter ou accéder aux machines virtuelles créées dans la connexion système ou par d'autres utilisateurs. En outre, les options de configuration de la mise en réseau des machines virtuelles sont considérablement limitées.

Note

La documentation de RHEL 9 suppose que vous disposez des privilèges de connexion au système.

Séparation des machines virtuelles
Les VM individuelles s'exécutent en tant que processus isolés sur l'hôte et s'appuient sur la sécurité mise en œuvre par le noyau de l'hôte. Par conséquent, une VM ne peut pas lire ou accéder à la mémoire ou au stockage d'autres VM sur le même hôte.
QEMU sandboxing
Fonctionnalité qui empêche le code QEMU d'exécuter des appels système susceptibles de compromettre la sécurité de l'hôte.
Randomisation de l'espace d'adressage du noyau (KASLR)
Permet de randomiser les adresses physiques et virtuelles auxquelles l'image du noyau est décompressée. Ainsi, KASLR empêche les exploits de sécurité de l'invité basés sur l'emplacement des objets du noyau.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.