16.2. 가상 머신 보안을 위한 모범 사례

가상 시스템이 실제 시스템인 것처럼 보호합니다. 보안을 강화하는 데 사용할 수 있는 특정 방법은 게스트 OS에 따라 다릅니다.

VM이 RHEL 8을 실행하는 경우 Securing Red Hat Enterprise Linux 8 에서 게스트 시스템의 보안 향상에 대한 자세한 내용은 Securing Red Hat Enterprise Linux 8에서 참조하십시오.

SELinux가 강제 모드인지 확인합니다.

# getenforce
Enforcing

SELinux가 비활성화되었거나 허용 모드의 경우 강제 모드 활성화에 대한 지침은 SELinux 문서 사용을 참조하십시오.

SecureBoot 로 VM 사용 :

SecureBoot는 VM이 암호화 방식으로 서명된 OS를 실행할 수 있도록 하는 기능입니다. 이로 인해 텔웨어 공격으로 OS가 변경된 VM이 부팅되지 않습니다.

SecureBoot는 AMD64 또는 Intel 64 호스트에서 OVMF 펌웨어를 사용하는 Linux VM을 설치할 때만 적용할 수 있습니다. 자세한 내용은 SecureBoot 가상 머신 생성을 참조하십시오.

qemu-kvm 과 같은 qemu-* 명령을 사용하지 마십시오.

QEMU는 RHEL 8의 가상화 아키텍처의 필수 구성 요소이지만 수동으로 관리하기 어렵고 QEMU 구성이 잘못되어 보안 취약점이 발생할 수 있습니다. 따라서 대부분의 qemu-* 명령 사용은 Red Hat에서 지원되지 않습니다. 대신, 모범 사례에 따라 QEMU를 오케스트레이션하므로 virsh,virt-install, virt-xml 과 같은 libvirt 유틸리티를 사용하십시오.

그러나 qemu-img 유틸리티는 가상 디스크 이미지 관리에 지원됩니다.