19.3. SecureBoot 가상 머신 생성
VM이 암호화 서명된 OS를 실행 중인지 확인하는 SecureBoot 기능을 사용하는 Linux 가상 머신(VM)을 생성할 수 있습니다. 이는 VM의 게스트 OS가 악성 코드에 의해 변경된 경우 유용할 수 있습니다. 이러한 시나리오에서 SecureBoot는 VM이 부팅되지 않도록 하여 호스트 머신에 악성 코드가 발생할 수 있는 확산을 중지합니다.
사전 요구 사항
- VM은 Q35 시스템 유형입니다.
- 호스트 시스템은 AMD64 또는 Intel 64 아키텍처를 사용합니다.
edk2-OVMF패키지가 설치되어 있습니다.# dnf install edk2-ovmf운영 체제(OS) 설치 소스는 로컬 또는 네트워크에서 사용할 수 있습니다. 다음 형식 중 하나일 수 있습니다.
- 설치 미디어의 ISO 이미지
기존 VM 설치의 디스크 이미지
주의RHEL 9에서는 호스트 CD-ROM 또는 DVD-ROM 장치에서 설치할 수 없습니다. RHEL 9에서 사용 가능한 VM 설치 방법을 사용할 때 CD-ROM 또는 DVD-ROM을 설치 소스로 선택하면 설치에 실패합니다. 자세한 내용은 Red Hat 지식베이스 를 참조하십시오.
- 선택 사항: 설치보다 빠르고 쉽게 구성할 수 있도록 Kickstart 파일을 제공할 수 있습니다.
프로세스
명령줄 인터페이스를 사용하여 가상 머신 생성에 설명된 대로
virt-install명령을 사용하여 VM을 생성합니다.--boot옵션의 경우uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd값을 사용합니다. 이는 SecureBoot 기능을 활성화하는OVMF_VARS.secboot.fd및OVMF_CODE.secboot.fd파일을 VM의 NVMe(Non-volatile RAM) 설정 템플릿으로 사용합니다.예를 들면 다음과 같습니다.
# virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel9.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-9.0-installation.iso- 화면의 지침에 따라 OS 설치 절차를 따르십시오.
검증
- 게스트 OS가 설치되면 그래픽 게스트 콘솔에서 터미널을 열거나 SSH를 사용하여 게스트 OS에 연결하여 VM의 명령줄에 액세스합니다.
VM에서 SecureBoot가 활성화되어 있는지 확인하려면
mokutil --sb-state명령을 사용합니다.# mokutil --sb-state SecureBoot enabled
