19.2. 保护虚拟机的最佳实践

根据以下步骤，您的虚拟机被恶意代码利用，并用作攻击向量攻击您的主机系统的风险会大幅降低。

在客户端中：

象保护物理机器一样保护虚拟机的安全。增强安全性的具体方法取决于客户端操作系统。
如果您的虚拟机正在运行 RHEL 10，请参阅保护 RHEL 10 以了解有关提高客户端系统安全性的详细说明。

在主机端：

当远程管理虚拟机时，请使用加密的工具（如 SSH）和网络协议（如 SSL）连接到虚拟机。
确定 SELinux 处于 Enforcing 模式：
```
getenforce
```
```
# getenforce
Enforcing
```
Copy to Clipboard Toggle word wrap
如果 SELinux 被禁用或者处于 Permissive 模式，请参阅使用 SELinux 文档来激活 Enforcing 模式。
注意
SELinux Enforcing 模式还启用 sVirt RHEL 10 功能。这是用于虚拟化的一组特殊的 SELinux 布尔值，可手动调整，以便进行细致的虚拟机安全管理。
使用带有 SecureBoot 的虚拟机：
SecureBoot 是一种特性，可确保虚拟机运行加密签名的操作系统。这可防止因为恶意软件攻击而更改了操作系统的虚拟机引导。
SecureBoot 只能在 AMD64 或 Intel 64 主机上安装使用 OVMF 固件的 Linux 虚拟机时应用。具体步骤请参阅创建 SecureBoot 虚拟机。
不要使用 qemu-* 命令，如 qemu-kvm。
QEMU 是 RHEL 10 中虚拟化架构的基本组件，但难以手动管理，而且不正确的 QEMU 配置可能会导致安全漏洞。因此，使用大多数 qemu-* 命令不被红帽支持。反之，使用 libvirt 工具，如virsh、virt-install 和 virt-xml ，根据最佳实践来编排 QEMU。
但请注意，支持 qemu-img 工具来管理虚拟磁盘镜像。

返回顶部