Red Hat Summit15.3. Criando uma máquina virtual SecureBoot
A seguir, fornecemos instruções sobre a criação de uma máquina virtual Linux (VM) que utiliza o recurso SecureBoot, que garante que sua VM esteja rodando um SO criptograficamente assinado. Se o sistema operacional convidado de uma VM foi alterado por malware, o SecureBoot impede a inicialização da VM, o que impede a possível propagação do malware para sua máquina host.
Pré-requisitos
- A VM está usando o tipo de máquina Q35.
Os pacotes
edk2-OVMFestão instalados:yum install edk2-ovmf
# yum install edk2-ovmfCopy to Clipboard Copied! Toggle word wrap Toggle overflow Uma fonte de instalação de sistema operacional (SO) está disponível localmente ou em uma rede. Este pode ser um dos seguintes formatos:
- Uma imagem ISO de um meio de instalação
- Uma imagem em disco de uma instalação de VM existente
- Opcional: Um arquivo Kickstart pode ser fornecido para uma configuração mais rápida e fácil da instalação.
Procedimento
Use o comando
virt-installpara criar uma VM, conforme detalhado em Seção 2.2.1, “Criação de máquinas virtuais usando a interface de linha de comando”. Para a opção--boot, utilize o valoruefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd. Isto usa os arquivosOVMF_VARS.secboot.fdeOVMF_CODE.secboot.fdcomo modelos para as configurações não voláteis de RAM (NVRAM) da VM, o que permite o recurso SecureBoot.Por exemplo:
virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.iso
# virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.isoCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Siga o procedimento de instalação do sistema operacional de acordo com as instruções na tela.
- Após o SO convidado ser instalado, acesse a linha de comando da VM abrindo o terminal no console gráfico convidado ou conectando-se ao SO convidado usando SSH.
Verifique se o SecureBoot está habilitado usando o comando
mokutil --sb-state:mokutil --sb-state
# mokutil --sb-state SecureBoot enabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}