19.6. 가상화를 위한 SELinux 부울
RHEL 9에서는 강제 모드의 SELinux가 있는 호스트에서 자동으로 활성화된 특수 SELinux 부울 세트인 sVirt 기능을 제공합니다.
RHEL 9 시스템에서 가상 시스템 보안을 세밀하게 구성하려면 호스트에서 SELinux 부울을 구성하여 하이퍼바이저가 특정 방식으로 작동하도록 할 수 있습니다.
모든 가상화 관련 부울 및 해당 상태를 나열하려면 getsebool -a | grep virt 명령을 사용합니다.
$ getsebool -a | grep virt
[...]
virt_sandbox_use_netlink --> off
virt_sandbox_use_sys_admin --> off
virt_transition_userdomain --> off
virt_use_comm --> off
virt_use_execmem --> off
virt_use_fusefs --> off
[...]
특정 부울을 활성화하려면 명령에 root로 setsebool -P boolean_name on 명령을 사용합니다. 부울을 비활성화하려면 setsebool -P boolean_name off 를 사용합니다.
다음 표에는 RHEL 9에서 사용할 수 있는 가상화 관련 부울과 활성화 시 수행하는 작업이 나열되어 있습니다.
| SELinux 부울 | 설명 |
|---|---|
| staff_use_svirt | 루트가 아닌 사용자가 VM을 생성하고 sVirt로 전환할 수 있습니다. |
| unprivuser_use_svirt | 권한이 없는 사용자가 VM을 생성하고 sVirt로 전환할 수 있습니다. |
| virt_sandbox_use_audit | 샌드박스 컨테이너가 감사 메시지를 보낼 수 있습니다. |
| virt_sandbox_use_netlink | 샌드박스 컨테이너에서 netlink 시스템 호출을 사용할 수 있습니다. |
| virt_sandbox_use_sys_admin | 샌드박스 컨테이너가 mount와 같은 sys_admin 시스템 호출을 사용하도록 활성화합니다. |
| virt_transition_userdomain | 가상 프로세스를 사용자 도메인으로 실행할 수 있습니다. |
| virt_use_comm | virt이 직렬/병렬 통신 포트를 사용할 수 있습니다. |
| virt_use_execmem | 제한된 가상 게스트가 실행 가능 메모리 및 실행 가능한 스택을 사용할 수 있도록 합니다. |
| virt_use_fusefs | virt에서 FUSE 마운트된 파일을 읽을 수 있습니다. |
| virt_use_nfs | virt을 통해 NFS 마운트된 파일을 관리할 수 있습니다. |
| virt_use_rawip | virt이 rawip 소켓과 상호 작용할 수 있습니다. |
| virt_use_samba | virt을 통해 CIFS 마운트 파일을 관리할 수 있습니다. |
| virt_use_sanlock | 제한된 가상 게스트가 sanlock과 상호 작용할 수 있습니다. |
| virt_use_usb | virt에서 USB 장치를 사용할 수 있습니다. |
| virt_use_xserver | 가상 머신이 X Window System과 상호 작용할 수 있도록 합니다. |
