Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

19.7. IBM Z에서 IBM Secure Execution 설정

IBM Z 하드웨어를 사용하여 RHEL 9 호스트를 실행하는 경우 VM(가상 머신)의 보안을 개선할 수 있습니다. VM의 IBM Secure Execution를 구성합니다.

IBM Secure Execution (RM Secure Execution)는 호스트 시스템이 VM의 상태 및 메모리 콘텐츠에 액세스하지 못하도록 합니다. 결과적으로 호스트가 손상된 경우에도 게스트 운영 체제를 공격하기 위한 벡터로 사용할 수 없습니다. 또한 보안 실행을 사용하여 신뢰할 수 없는 호스트가 VM에서 중요한 정보를 얻지 못하도록 할 수 있습니다.

다음 절차에서는 IBM Z 호스트의 기존 VM을 보안 VM으로 변환하는 방법을 설명합니다.

사전 요구 사항

  • 시스템 하드웨어는 다음 중 하나입니다.

    • IBM z15 이상
    • IBM LinuxONE III 이상

  • 시스템에 대해 보안 실행 기능이 활성화되어 있습니다. 확인하려면 다음을 사용합니다. 

    # grep facilities /proc/cpuinfo | grep 158
    Copy to Clipboard Toggle word wrap

    이 명령이 출력을 표시하는 경우 CPU는 Secure Execution와 호환됩니다.

  • 커널에는 보안 실행 지원이 포함되어 있습니다. 확인하려면 다음을 사용합니다. 

    # ls /sys/firmware | grep uv
    Copy to Clipboard Toggle word wrap

    명령이 출력을 생성하는 경우 커널은 Secure Execution를 지원합니다.

  • 호스트 CPU 모델에는 압축 해제 기능이 포함되어 있습니다. 확인하려면 다음을 사용합니다. 

    # virsh domcapabilities | grep unpack
<feature policy='require' name='unpack'/>
    Copy to Clipboard Toggle word wrap

    명령에서 위의 출력을 생성하는 경우 CPU 호스트 모델은 보안 실행과 호환됩니다.

  • VM의 CPU 모드는 host-model 로 설정되어 있습니다. 이를 확인하려면 다음을 사용하고 vm-name 을 VM 이름으로 교체합니다. 

    # virsh dumpxml vm-name | grep "<cpu mode='host-model'/>"
    Copy to Clipboard Toggle word wrap

    명령에서 출력을 생성하면 VM의 CPU 모드가 올바르게 설정됩니다.

  • genprotimg 패키지가 호스트에 설치되어 있어야 합니다. 

    # dnf install genprotimg
    Copy to Clipboard Toggle word wrap
  • IBM Z 호스트 키 문서를 가져와서 확인했습니다. 이 작업을 수행하는 방법은 IBM 문서의 호스트 키 문서 확인을 참조하십시오.

프로세스

호스트에서 다음 단계를 수행합니다.

  1. prot_virt=1 커널 매개 변수를 호스트의 부팅 구성에 추가합니다. 

    # grubby --update-kernel=ALL --args="prot_virt=1"
    Copy to Clipboard Toggle word wrap

  2. 부팅 메뉴를 업데이트합니다.

    # zipl

  3. virsh edit 를 사용하여 보호할 VM의 XML 구성을 수정합니다.

  4. <launchSecurity type="s390-pv"/>를 < /devices > 줄 아래에 추가합니다. 예를 들면 다음과 같습니다. 

    [...]
    </memballoon>
  </devices>
  <launchSecurity type="s390-pv"/>
</domain>
    Copy to Clipboard Toggle word wrap
  5. 구성의 < devices > 섹션에 virtio-rng 장치( <rng model="virtio"> )가 포함된 경우 <rng> </rng > 블록의 모든 행을 제거합니다.

  6. 선택 사항: 보안하려는 VM에서 32GiB의 RAM 이상을 사용하는 경우 XML 구성의 <features></features> 섹션에 <async-teardown enabled='yes'/> 행을 추가합니다.

    이렇게 하면 이러한 보안 실행 게스트의 재부팅 또는 중지 성능이 향상됩니다.

보호하려는 VM 의 게스트 운영 체제에서 다음 단계를 수행합니다.

  1. 매개 변수 파일을 생성합니다. 예를 들면 다음과 같습니다. 

    # touch ~/secure-parameters
    Copy to Clipboard Toggle word wrap

  2. /boot/loader/entries 디렉토리에서 최신 버전으로 부트 로더 항목을 식별합니다. 

    # ls /boot/loader/entries -l
[...]
-rw-r--r--. 1 root root  281 Oct  9 15:51 3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf
    Copy to Clipboard Toggle word wrap

  3. 부트 로더 항목의 커널 옵션 행을 검색합니다. 

    # cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options
options root=/dev/mapper/rhel-root
rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap
    Copy to Clipboard Toggle word wrap

  4. options 라인과 swiotlb=262144 의 내용을 생성된 매개변수 파일에 추가합니다. 

    # echo "root=/dev/mapper/rhel-root rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parameters
    Copy to Clipboard Toggle word wrap

  5. IBM Secure Execution 이미지를 생성합니다.

    예를 들어 다음은 /boot/vmlinuz-4.18.0-240.el8.s390x 이미지를 기반으로 /boot/secure-image 보안 이미지를 생성합니다. secure-parameters 파일, /boot/initramfs-4.18.0-240.el8.s390x.img 초기 RAM 디스크 파일 및 HKD-8651-000201C0411C04.crt 키입니다. 

    # genprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-image
    Copy to Clipboard Toggle word wrap

    genprotimg 유틸리티를 사용하면 커널 매개 변수, 초기 RAM 디스크 및 부팅 이미지가 포함된 보안 이미지를 생성합니다.

  6. 보안 이미지에서 부팅하도록 VM의 부팅 메뉴를 업데이트합니다. 또한 initrdoptions 로 시작하는 행은 필요하지 않으므로 제거합니다.

    예를 들어 RHEL 8.3 VM에서 부팅 메뉴를 /boot/loader/entries/ 디렉토리에서 편집할 수 있습니다. 

    # cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf
title Red Hat Enterprise Linux 8.3
version 4.18.0-240.el8.s390x
linux /boot/secure-image
[...]
    Copy to Clipboard Toggle word wrap

  7. 부팅 가능한 디스크 이미지를 생성합니다. 

    # zipl -V
    Copy to Clipboard Toggle word wrap

  8. 보호되지 않은 원본 파일을 안전하게 제거하십시오. 예를 들면 다음과 같습니다. 

    # shred /boot/vmlinuz-4.18.0-240.el8.s390x
# shred /boot/initramfs-4.18.0-240.el8.s390x.img
# shred secure-parameters
    Copy to Clipboard Toggle word wrap

    원래 부팅 이미지, 초기 RAM 이미지 및 커널 매개 변수 파일은 보호되지 않으며 제거되지 않은 경우 Secure Execution가 활성화된 VM은 해킹 시도 또는 민감한 데이터 검색에 취약해질 수 있습니다.

검증

  • 호스트에서 virsh dumpxml 유틸리티를 사용하여 보안 VM의 XML 구성을 확인합니다. 구성에 < launchSecurity type="s390-pv"/ > 요소가 포함되어야 하며 <rng model="virtio">행이 포함되지 않아야 합니다. 

    # virsh dumpxml vm-name
[...]
  <cpu mode='host-model'/>
  <devices>
    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2' cache='none' io='native'>
      <source file='/var/lib/libvirt/images/secure-guest.qcow2'/>
      <target dev='vda' bus='virtio'/>
    </disk>
    <interface type='network'>
      <source network='default'/>
      <model type='virtio'/>
    </interface>
    <console type='pty'/>
    <memballoon model='none'/>
  </devices>
  <launchSecurity type="s390-pv"/>
</domain>
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat