Rechercher

19.4. Limiter les actions disponibles pour les utilisateurs de machines virtuelles

download PDF

Dans certains cas, les actions que les utilisateurs de machines virtuelles (VM) hébergées sur RHEL 9 peuvent effectuer par défaut peuvent présenter un risque pour la sécurité. Dans ce cas, vous pouvez limiter les actions disponibles pour les utilisateurs de VM en configurant les démons libvirt pour qu'ils utilisent la boîte à outils de stratégie polkit sur la machine hôte.

Procédure

  1. Optional: Assurez-vous que les politiques de contrôle de votre système polkit relatives à libvirt sont configurées selon vos préférences.

    1. Trouver tous les fichiers liés à libvirt dans les répertoires /usr/share/polkit-1/actions/ et /usr/share/polkit-1/rules.d/.

      # ls /usr/share/polkit-1/actions | grep libvirt
      # ls /usr/share/polkit-1/rules.d | grep libvirt
    2. Ouvrez les fichiers et examinez les paramètres des règles.

      Pour obtenir des informations sur la lecture de la syntaxe des politiques de contrôle polkit, utilisez man polkit.

    3. Modifier les politiques de contrôle de libvirt. Pour ce faire, il faut

      1. Créez un nouveau fichier .rules dans le répertoire /etc/polkit-1/rules.d/.
      2. Ajoutez vos politiques personnalisées à ce fichier et enregistrez-le.

        Pour de plus amples informations et des exemples de politiques de contrôle libvirt, voir la documentation en amont libvirt .

  2. Configurez vos machines virtuelles pour qu'elles utilisent les politiques d'accès déterminées par polkit.

    Pour ce faire, recherchez tous les fichiers de configuration des pilotes de virtualisation dans le répertoire /etc/libvirt/ et décommentez la ligne access_drivers = [ "polkit" ] qui s'y trouve.

    # find /etc/libvirt/ -name virt*d.conf -exec sed -i 's/#access_drivers = \[ "polkit" \]/access_drivers = \[ "polkit" \]/g' {} 
  3. Pour chaque fichier modifié à l'étape précédente, redémarrez le service correspondant.

    Par exemple, si vous avez modifié /etc/libvirt/virtqemud.conf, redémarrez le service virtqemud.

    # systemctl try-restart virtqemud

Vérification

  • En tant qu'utilisateur dont vous souhaitez limiter les actions de la VM, effectuez l'une des actions restreintes.

    Par exemple, si les utilisateurs non privilégiés ne peuvent pas voir les machines virtuelles créées dans la session système :

    $ virsh -c qemu:///system list --all
    Id   Name           State
    -------------------------------

    Si cette commande ne répertorie aucune VM alors qu'une ou plusieurs VM existent sur votre système, polkit restreint avec succès l'action pour les utilisateurs non privilégiés.

Résolution de problèmes

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.