搜索

16.5. 虚拟机安全性的自动功能

download PDF

除了手动方式提高了您在 保护虚拟机的最佳实践 中列出的虚拟机的安全性外,很多安全功能是由 libvirt 软件套件提供的,并在 RHEL 8 中使用虚拟化时自动启用。它们是:

系统和会话连接

要访问 RHEL 8 中所有可用的虚拟机管理工具,您需要使用 libvirt 的 系统连接 (qemu:///system)。为此,您必须在系统上拥有 root 权限,或者是 libvirt 用户组的成员。

不属于 libvirt 组中的非 root 用户只能访问 libvirt 的 会话连接 (qemu:///session),后者必须在访问资源时遵守本地用户的访问权限。例如,使用会话连接,您无法检测或访问系统连接中或由其他用户创建的虚拟机。另外,可用的 VM 网络配置选项也有很大限制。

注意

RHEL 8 文档假设您有系统连接特权。

虚拟机分离
单个虚拟机作为隔离进程在主机上运行,并依赖于主机内核强制的安全性。因此,虚拟机无法读取或访问同一主机上其他虚拟机的内存或存储。
QEMU 沙盒
此特性可防止 QEMU 代码执行可能会破坏主机安全性的系统调用。
内核地址空间随机化(KASLR)
启用对内核镜像解压缩的物理和虚拟地址进行随机化。因此,KASLR 会根据内核对象的位置防止客户机安全漏洞。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.