16.3. SecureBoot 가상 머신 생성
SecureBoot 기능을 사용하는 Linux VM(가상 머신)을 생성하여 VM이 암호화 서명 OS를 실행하고 있는지 확인할 수 있습니다. VM의 게스트 OS가 악성 시스템에 의해 변경된 경우 유용할 수 있습니다. 이러한 시나리오에서 SecureBoot는 VM이 부팅되지 않도록 하여 호스트 시스템에 대한 악성 프로그램의 잠재적인 확산을 방지합니다.
사전 요구 사항
- VM은 Q35 시스템 유형입니다.
- 호스트 시스템은 AMD64 또는 Intel 64 아키텍처를 사용합니다.
The
edk2-OVMF패키지가 설치되어 있습니다.# yum install edk2-ovmfOS(운영 체제) 설치 소스는 로컬 또는 네트워크에서 사용할 수 있습니다. 다음 형식 중 하나일 수 있습니다.
- 설치 미디어의 ISO 이미지
기존 VM 설치의 디스크 이미지
주의RHEL 8에서는 호스트 CD-ROM 또는 DVD-ROM 장치에서 설치할 수 없습니다. RHEL 8에서 사용할 수 있는 VM 설치 방법을 사용할 때 CD-ROM 또는 DVD-ROM을 설치 소스로 선택하면 설치에 실패합니다. 자세한 내용은 Red Hat 지식베이스 를 참조하십시오.
- 선택 사항: Kickstart 파일을 제공하여 설치 시 보다 빠르고 쉽게 구성할 수 있습니다.
절차
명령줄 인터페이스를 사용하여 가상 머신 생성에 설명된 대로
virt-install명령을 사용하여 VM을 생성합니다. boot옵션의경우uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd값을 사용합니다. 이는OVMF_VARS.secboot.fd및OVMF_CODE.secboot.fd파일을 VM의 비발성 RAM(NVRAM) 설정에 대한 템플릿으로 사용하며 SecureBoot 기능을 활성화합니다.예를 들면 다음과 같습니다.
# virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.iso- 화면 지침에 따라 OS 설치 절차를 따릅니다.
검증
- 게스트 OS가 설치되면 그래픽 게스트 콘솔에서 터미널을 열거나 SSH를 사용하여 게스트 OS에 연결하여 VM의 명령줄에 액세스합니다.
VM에서 SecureBoot가 활성화되었는지 확인하려면
mokutil --sb-state명령을 사용합니다.# mokutil --sb-state SecureBoot enabled
