18.3. 虚拟机安全性的默认功能

除了手动改进虚拟机的安全性外，在保护虚拟机的最佳实践中，libvirt 软件套件还提供了一些安全功能，并在 RHEL 10 中使用虚拟化时自动启用。它们是：

系统和会话连接

访问 RHEL 10 主机上虚拟机管理的所有可用工具，您需要使用 libvirt 的系统连接(qemu:///system )。为此，您必须在系统上拥有 root 权限，或者是 libvirt 用户组的成员。

不属于 libvirt 组中的非 root 用户只能访问 libvirt 的 会话连接 (qemu:///session)，这必须在访问资源时遵守本地用户的访问权限。

虚拟机分离

单个虚拟机作为隔离进程在主机上运行，并依赖于主机内核强制的安全性。因此，虚拟机无法读取或访问同一主机上其他虚拟机的内存或存储。

QEMU 沙盒

此特性可防止 QEMU 代码执行可能会破坏主机安全性的系统调用。

内核地址空间随机化(KASLR)

启用对内核镜像解压缩的物理和虚拟地址进行随机化。因此，KASLR 会根据内核对象的位置防止客户机安全漏洞。

返回顶部