Red Hat Summit16.8. IBM Z での IBM Secure Execution の設定
IBM Z ハードウェアを使用して RHEL 9 ホストを実行する場合は、仮想マシン (VM) の IBM Secure Execution 機能を設定して、仮想マシンのセキュリティーを強化できます。
IBM Secure Execution (Protected Virtualization とも呼ばれる) は、ホストシステムが仮想マシンの状態とメモリーのコンテンツにアクセスできないようにします。その結果、ホストが危険にさらされても、ゲストオペレーティングシステムを攻撃するベクトルとして使用できません。さらに、セキュア実行を使用して、信頼できないホストが仮想マシンから機密情報を取得しないようにすることもできます。
IBM Secure Execution を有効にすることで、IBM Z ホスト上の既存の仮想マシンを安全な仮想マシンに変換できます。
実稼働環境を保護するには、ワークロードをさらに保護する方法を説明している Secure Execution を使用したワークロードの完全な保護に関する IBM ドキュメント を参照してください。
前提条件
システムハードウェアに以下のいずれかを使用している。
- IBM z15 以降
- IBM LinuxONE III 以降
Secure Execution 機能がお使いのシステムで有効になっている。確認するには、次のコマンドを実行します。
grep facilities /proc/cpuinfo | grep 158
# grep facilities /proc/cpuinfo | grep 158Copy to Clipboard Copied! このコマンドで出力が表示された場合には、お使いの CPU は Secure Execution と互換性があります。
カーネルに Secure Execution のサポートが含まれている。これを確認するには、次のコマンドを実行します。
ls /sys/firmware | grep uv
# ls /sys/firmware | grep uvCopy to Clipboard Copied! このコマンドで出力が表示された場合には、カーネルで Secure Execution がサポートされています。
ホストの CPU モデルに
unpack機能が含まれている。これを確認するには、次のコマンドを実行します。virsh domcapabilities | grep unpack
# virsh domcapabilities | grep unpack <feature policy='require' name='unpack'/>Copy to Clipboard Copied! このコマンドで上記の出力が表示された場合には、お使いの CPU ホストモデルは Secure Execution と互換性があります。
仮想マシンの CPU モードが
host-modelに設定されている。virsh dumpxml <vm_name> | grep "<cpu mode='host-model'/>"
# virsh dumpxml <vm_name> | grep "<cpu mode='host-model'/>"Copy to Clipboard Copied! このコマンドで出力が表示された場合には、仮想マシンの CPU モデルは正しく設定されています。
ホストから直接仮想マシンイメージを変更する場合に備えて、
guestfs-toolsパッケージがホストにインストールされています。yum install guestfs-tools
# yum install guestfs-toolsCopy to Clipboard Copied! - IBM Z のホストキーのドキュメントを取得および確認している。詳細は、IBM ドキュメントの Verifying the host key document を参照してください。
手順
お使いのホスト で、以下の手順を実行します。
ホストのブート設定に
prot_virt=1カーネルパラメーターを追加します。grubby --update-kernel=ALL --args="prot_virt=1"
# grubby --update-kernel=ALL --args="prot_virt=1"Copy to Clipboard Copied! ブートメニューを更新します。
# zipl
-
virsh editを使用して、セキュリティー保護する仮想マシンの XML 設定を変更します。 <launchSecurity type="s390-pv"/>を</devices>行の下に追加します。以下に例を示します。[...] </memballoon> </devices> <launchSecurity type="s390-pv"/> </domain>[...] </memballoon> </devices> <launchSecurity type="s390-pv"/> </domain>Copy to Clipboard Copied! -
設定の
<devices>セクションにvirtio-rngデバイス (<rng model="virtio">) が含まれている場合は、<rng> </rng>ブロックのすべての行を削除します。
以下のいずれかのセクションの手順に進みます。ゲストにログインして、Secure Execution 用に手動で設定するか、スクリプトおよび guestfs-tools を使用してホストから直接ゲストイメージを設定できます。
Secure Execution の仮想マシンの手動設定
セキュリティーを保護する仮想マシンの ゲストオペレーティングシステム で、以下の手順を実行します。
パラメーターファイルを作成します。以下に例を示します。
touch ~/secure-parameters
# touch ~/secure-parametersCopy to Clipboard Copied! /boot/loader/entriesディレクトリーで、最新バージョンのブートローダーエントリーを特定します。ls /boot/loader/entries -l
# ls /boot/loader/entries -l [...] -rw-r--r--. 1 root root 281 Oct 9 15:51 3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.confCopy to Clipboard Copied! ブートローダーエントリーからカーネルオプションの行を取得します。
cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options options root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap
# cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options options root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swapCopy to Clipboard Copied! オプションの行の内容と
swiotlb=262144を作成したパラメーターのファイルに追加します。echo "root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parameters
# echo "root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parametersCopy to Clipboard Copied! 新しい IBM Secure Execution イメージを生成します。
たとえば、以下は
secure-parametersファイル、/boot/initramfs-4.18.0-240.el8.s390x.img初期 RAM ディスクファイル、およびHKD-8651-000201C048.crtホストキードキュメントを使用して、/boot/vmlinuz-4.18.0-240.el8.s390xイメージをもとに、セキュアなイメージ (/boot/secure-image) を作成します。genprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-image
# genprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-imageCopy to Clipboard Copied! genprotimgユーティリティーを使用すると、カーネルパラメーター、初期 RAM ディスク、ブートイメージを含む、セキュアなイメージが作成されます。仮想マシンのブートメニューを更新して、セキュアなイメージから起動します。さらに、
initrdおよびオプションで始まる行は必要ないので削除します。たとえば、RHEL 8.3 仮想マシンでは、
/boot/loader/entries/ディレクトリーでブートメニューの編集が可能です。cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf title Red Hat Enterprise Linux 8.3 version 4.18.0-240.el8.s390x linux /boot/secure-image [...]
# cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf title Red Hat Enterprise Linux 8.3 version 4.18.0-240.el8.s390x linux /boot/secure-image [...]Copy to Clipboard Copied! ブート可能なディスクイメージの作成
zipl -V
# zipl -VCopy to Clipboard Copied! 保護されていない元のファイルを安全に削除します。以下に例を示します。
shred /boot/vmlinuz-4.18.0-240.el8.s390x shred /boot/initramfs-4.18.0-240.el8.s390x.img shred secure-parameters
# shred /boot/vmlinuz-4.18.0-240.el8.s390x # shred /boot/initramfs-4.18.0-240.el8.s390x.img # shred secure-parametersCopy to Clipboard Copied! 元のブートイメージ、初期 RAM イメージ、およびカーネルパラメーターファイルは保護されていません。削除しない場合には、Secure Execution が有効になっている仮想マシンで、ハッキングまたは機密データマイニングの攻撃を受ける可能性があります。
ホストから直接 Secure Execution の仮想マシンを設定する
guestfs-tools を使用して、手動で起動せずに既存のイメージを変更できます。ただし、以下の例はテスト環境および開発環境でのみ使用してください。実稼働環境を保護するには、Secure Execution を使用したワークロードの完全な保護に関する IBM ドキュメント を参照してください。
ホストで 以下の手順を実行します。
ホストキードキュメントを含むスクリプトと、Secure Execution を使用するように既存の仮想マシンを設定するスクリプトを作成します。以下に例を示します。
#!/usr/bin/bash echo "$(cat /proc/cmdline) swiotlb=262144" > parmfile cat > ./HKD.crt << EOF -----BEGIN CERTIFICATE----- 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 xLPRGYwhmXzKDg== -----END CERTIFICATE----- EOF version=$(uname -r) kernel=/boot/vmlinuz-$version initrd=/boot/initramfs-$version.img genprotimg -k ./HKD.crt -p ./parmfile -i $kernel -r $initrd -o /boot/secure-linux --no-verify cat >> /etc/zipl.conf<< EOF [secure] target=/boot image=/boot/secure-linux EOF zipl -V shutdown -h now
#!/usr/bin/bash echo "$(cat /proc/cmdline) swiotlb=262144" > parmfile cat > ./HKD.crt << EOF -----BEGIN CERTIFICATE----- 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 1234569901234569901234569901234569901234569901234569901234569900 xLPRGYwhmXzKDg== -----END CERTIFICATE----- EOF version=$(uname -r) kernel=/boot/vmlinuz-$version initrd=/boot/initramfs-$version.img genprotimg -k ./HKD.crt -p ./parmfile -i $kernel -r $initrd -o /boot/secure-linux --no-verify cat >> /etc/zipl.conf<< EOF [secure] target=/boot image=/boot/secure-linux EOF zipl -V shutdown -h nowCopy to Clipboard Copied! - 仮想マシンがシャットダウンしていることを確認します。
guestfs-toolsを使用して既存の仮想マシンイメージにスクリプトを追加し、最初の起動時に実行 するようにマークします。virt-customize -a <vm_image_path> --selinux-relabel --firstboot <script_path>
# virt-customize -a <vm_image_path> --selinux-relabel --firstboot <script_path>Copy to Clipboard Copied! 追加したスクリプトを使用して、イメージから仮想マシンを起動します。
スクリプトは初回起動時に実行され、続いて仮想マシンを再度シャットダウンします。その結果、仮想マシンは、対応するホストキーを持つホスト上の Secure Execution で実行するように設定されます。
検証
ホストで、
virsh dumpxmlユーティリティーを使用して、セキュアな仮想マシンの XML 設定を確認します。設定には<launchSecurity type="s390-pv"/>要素を含み、<rng model="virtio"> 行は使用しないでください。virsh dumpxml vm-name
# virsh dumpxml vm-name [...] <cpu mode='host-model'/> <devices> <disk type='file' device='disk'> <driver name='qemu' type='qcow2' cache='none' io='native'> <source file='/var/lib/libvirt/images/secure-guest.qcow2'/> <target dev='vda' bus='virtio'/> </disk> <interface type='network'> <source network='default'/> <model type='virtio'/> </interface> <console type='pty'/> <memballoon model='none'/> </devices> <launchSecurity type="s390-pv"/> </domain>Copy to Clipboard Copied!
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}