ホーム
製品
Red Hat Enterprise Linux
8
仮想化の設定および管理
16.5. 仮想マシンユーザーが使用できるアクションの制限

16.5. 仮想マシンユーザーが使用できるアクションの制限

場合によっては、RHEL 8 でホストされる仮想マシン (VM) のユーザーがデフォルトで実行できるアクションにより、セキュリティーリスクが発生する可能性があります。この場合は、ホストマシンで polkit ポリシーツールキットを使用するように libvirt デーモンを設定して、仮想マシンユーザーに利用可能なアクションを制限できます。

手順

オプション: libvirt に関連するシステムの polkit 制御ポリシーが必要に応じて設定されていることを確認します。
1. /usr/share/polkit-1/actions/ ディレクトリーおよび /usr/share/polkit-1/rules.d/ ディレクトリーにある libvirt 関連のファイルすべてを検索します。
  # ls /usr/share/polkit-1/actions | grep libvirt # ls /usr/share/polkit-1/rules.d | grep libvirt
2. ファイルを開き、ルール設定を確認します。
  polkit 制御ポリシーの構文の読み取りに関する詳細は、man polkit を使用します。
3. libvirt 制御ポリシーを変更します。これを行うには、以下を行います。
  1. /etc/polkit-1/rules.d/ ディレクトリーに新しい .rules ファイルを作成します。
  2. このファイルにカスタムポリシーを追加して保存します。
    libvirt コントロールポリシーの詳細および例は、アップストリームの libvirt ドキュメントを参照してください。
polkit で決定されるアクセスポリシーを使用するように仮想マシンを設定します。
これを行うには、/etc/libvirt/libvirtd.conf ファイルの access_drivers = [ "polkit" ] 行のコメントを外します。
```
# sed -i 's/#access_drivers = \[ "polkit" \]/access_drivers = \[ "polkit" \]/' /etc/libvirt/libvirtd.conf
```
libvirtd サービスを再起動します。
```
# systemctl restart libvirtd
```

検証

VM アクションを制限する予定だったユーザーとして、制限されたアクションの 1 つを実行します。
たとえば、特権のないユーザーがシステムセッションで作成された VM の表示を制限されている場合は、以下を実行します。
```
$ virsh -c qemu:///system list --all
Id   Name           State
-------------------------------
```
お使いのシステムに 1 つ以上の仮想マシンが存在していても、このコマンドで仮想マシンがリスト表示されない場合は、polkit は特権のないユーザーのアクションを正常に制限します。

トラブルシューティング

現在、polkit を使用するように libvirt を設定すると、libvirt-dbus サービスとの互換性がないため、RHEL 8 Web コンソールを使用する VM に接続できなくなります。
Web コンソールで仮想マシンのきめ細かいアクセス制御が必要な場合は、カスタム D-Bus ポリシーを作成します。詳細は、Red Hat ナレッジベースソリューション How to configure fine-grained control of Virtual Machines in Cockpit を参照してください。

16.5. 仮想マシンユーザーが使用できるアクションの制限

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links