Rechercher

19.2. Meilleures pratiques pour sécuriser les machines virtuelles

download PDF

Le respect des instructions ci-dessous réduit considérablement le risque que vos machines virtuelles soient infectées par un code malveillant et utilisées comme vecteurs d'attaque pour infecter votre système hôte.

On the guest side:

  • Sécuriser la machine virtuelle comme s'il s'agissait d'une machine physique. Les méthodes spécifiques disponibles pour renforcer la sécurité dépendent du système d'exploitation invité.

    Si votre VM exécute RHEL 9, voir Sécuriser Red Hat Enterprise Linux 9 pour des instructions détaillées sur l'amélioration de la sécurité de votre système invité.

On the host side:

  • Lorsque vous gérez des VM à distance, utilisez des utilitaires cryptographiques tels que SSH et des protocoles réseau tels que SSL pour vous connecter aux VM.
  • Assurez-vous que SELinux est en mode "Enforcing" :

    # getenforce
    Enforcing

    Si SELinux est désactivé ou en mode Permissive, consultez le document Using SELinux pour savoir comment activer le mode Enforcing.

    Note

    Le mode SELinux Enforcing active également la fonction sVirt RHEL 9. Il s'agit d'un ensemble de booléens SELinux spécialisés dans la virtualisation, qui peuvent être ajustés manuellement pour une gestion fine de la sécurité des machines virtuelles.

  • Utiliser les VM avec SecureBoot:

    SecureBoot est une fonction qui garantit que votre VM exécute un système d'exploitation signé par un système de cryptographie. Cela empêche les machines virtuelles dont le système d'exploitation a été modifié par un logiciel malveillant de démarrer.

    SecureBoot ne peut être appliqué que lors de l'installation d'une VM Linux utilisant le micrologiciel OVMF sur un hôte AMD64 ou Intel 64. Pour plus d'informations, voir Création d'une machine virtuelle SecureBoot.

  • N'utilisez pas les commandes qemu-*, telles que qemu-kvm.

    QEMU est un composant essentiel de l'architecture de virtualisation dans RHEL 9, mais il est difficile à gérer manuellement, et des configurations QEMU incorrectes peuvent entraîner des vulnérabilités de sécurité. Par conséquent, l'utilisation de la plupart des commandes qemu-* n'est pas prise en charge par Red Hat. Utilisez plutôt les utilitaires libvirt, tels que virsh, virt-install, et virt-xml, car ils orchestrent QEMU selon les meilleures pratiques.

    Notez toutefois que l'utilitaire qemu-img est pris en charge pour la gestion des images de disques virtuels.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.