15.3. Criando uma máquina virtual SecureBoot
A seguir, fornecemos instruções sobre a criação de uma máquina virtual Linux (VM) que utiliza o recurso SecureBoot, que garante que sua VM esteja rodando um SO criptograficamente assinado. Se o sistema operacional convidado de uma VM foi alterado por malware, o SecureBoot impede a inicialização da VM, o que impede a possível propagação do malware para sua máquina host.
Pré-requisitos
- A VM está usando o tipo de máquina Q35.
Os pacotes
edk2-OVMFestão instalados:# yum install edk2-ovmfUma fonte de instalação de sistema operacional (SO) está disponível localmente ou em uma rede. Este pode ser um dos seguintes formatos:
- Uma imagem ISO de um meio de instalação
- Uma imagem em disco de uma instalação de VM existente
- Opcional: Um arquivo Kickstart pode ser fornecido para uma configuração mais rápida e fácil da instalação.
Procedimento
Use o comando
virt-installpara criar uma VM, conforme detalhado em Seção 2.2.1, “Criação de máquinas virtuais usando a interface de linha de comando”. Para a opção--boot, utilize o valoruefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd. Isto usa os arquivosOVMF_VARS.secboot.fdeOVMF_CODE.secboot.fdcomo modelos para as configurações não voláteis de RAM (NVRAM) da VM, o que permite o recurso SecureBoot.Por exemplo:
# virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.iso- Siga o procedimento de instalação do sistema operacional de acordo com as instruções na tela.
- Após o SO convidado ser instalado, acesse a linha de comando da VM abrindo o terminal no console gráfico convidado ou conectando-se ao SO convidado usando SSH.
Verifique se o SecureBoot está habilitado usando o comando
mokutil --sb-state:# mokutil --sb-state SecureBoot enabled
