19.5. 가상 머신 보안을 위한 자동 기능
가상 머신 보안을 위한 모범 사례에 나열된 가상 시스템의 보안을 개선할 수 있는 수동 방법 외에도 여러 보안 기능이 libvirt 소프트웨어 제품군에서 제공되며 RHEL 9에서 가상화를 사용할 때 자동으로 활성화됩니다. 여기에는 다음이 포함됩니다.
- 시스템 및 세션 연결
RHEL 9에서 가상 머신 관리에 사용 가능한 모든 유틸리티에 액세스하려면 libvirt(
qemu:/// system )의 시스템 연결을
사용해야 합니다. 이렇게 하려면 시스템에 대한 root 권한이 있거나 libvirt 사용자 그룹의 일부여야 합니다.libvirt 그룹에 없는 루트가 아닌 사용자는 리소스에 액세스할 때 로컬 사용자의 액세스 권한을 준수해야 하는 libvirt(
qemu:///session
)의 세션 연결에 만 액세스할 수 있습니다. 예를 들어 세션 연결을 사용하여 시스템 연결 또는 다른 사용자가 생성한 VM을 감지하거나 액세스할 수 없습니다. 또한 사용 가능한 VM 네트워킹 구성 옵션은 크게 제한됩니다.참고RHEL 9 설명서에서는 시스템 연결 권한이 있다고 가정합니다.
- 가상 머신 분리
- 개별 VM은 호스트에서 분리된 프로세스로 실행되며 호스트 커널에서 시행하는 보안을 사용합니다. 따라서 VM은 동일한 호스트에서 다른 VM의 메모리 또는 스토리지에 읽거나 액세스할 수 없습니다.
- QEMU 샌드박스
- QEMU 코드가 호스트의 보안을 손상시킬 수 있는 시스템 호출을 실행하지 못하도록 하는 기능입니다.
- 커널 주소 공간 순위화 (KASLR)
- 커널 이미지의 압축을 해제하는 물리적 및 가상 주소를 임의화할 수 있습니다. 따라서 KASLR은 커널 오브젝트의 위치에 따라 게스트 보안 취약점을 방지합니다.