SupportConsoleDéveloppeursCommencer un essaiContact

19.6. Les booléens SELinux pour la virtualisation

RHEL 9 propose la fonctionnalité sVirt, qui est un ensemble de booléens SELinux spécialisés automatiquement activés sur un hôte avec SELinux en mode Enforcing.

Pour une configuration fine de la sécurité des machines virtuelles sur un système RHEL 9, vous pouvez configurer des booléens SELinux sur l'hôte afin que l'hyperviseur agisse d'une manière spécifique.

Pour dresser la liste de tous les booléens liés à la virtualisation et de leur état, utilisez la commande getsebool -a | grep virt: 

$ getsebool -a | grep virt
[...]
virt_sandbox_use_netlink --> off
virt_sandbox_use_sys_admin --> off
virt_transition_userdomain --> off
virt_use_comm --> off
virt_use_execmem --> off
virt_use_fusefs --> off
[...]

Pour activer un booléen spécifique, utilisez la commande setsebool -P boolean_name on en tant que root. Pour désactiver un booléen, utilisez la commande setsebool -P boolean_name off.

Le tableau suivant répertorie les booléens relatifs à la virtualisation disponibles dans RHEL 9 et leur fonction lorsqu'ils sont activés :

Tableau 19.1. Booléens de virtualisation SELinux
SELinux booléenDescription

staff_use_svirt

Permet aux utilisateurs non root de créer et de transférer des machines virtuelles vers sVirt.

unprivuser_use_svirt

Permet aux utilisateurs non privilégiés de créer et de transférer des machines virtuelles vers sVirt.

virt_sandbox_use_audit

Permet aux conteneurs de bac à sable d'envoyer des messages d'audit.

virt_sandbox_use_netlink

Permet aux conteneurs de bac à sable d'utiliser les appels système netlink.

virt_sandbox_use_sys_admin

Permet aux conteneurs de bac à sable d'utiliser les appels système sys_admin, tels que mount.

virt_transition_userdomain

Permet aux processus virtuels de s'exécuter en tant que domaines d'utilisateurs.

virt_use_comm

Permet à virt d'utiliser des ports de communication série/parallèle.

virt_use_execmem

Permet aux invités virtuels confinés d'utiliser la mémoire et la pile exécutables.

virt_use_fusefs

Permet à virt de lire les fichiers montés sur FUSE.

virt_use_nfs

Permet à virt de gérer les fichiers montés sur NFS.

virt_use_rawip

Permet à virt d'interagir avec les sockets rawip.

virt_use_samba

Permet à virt de gérer les fichiers montés en CIFS.

virt_use_sanlock

Permet aux invités virtuels confinés d'interagir avec le sanlock.

virt_use_usb

Permet à virt d'utiliser des périphériques USB.

virt_use_xserver

Permet à la machine virtuelle d'interagir avec le système X Window.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.