16.5. 虚拟机安全性的自动功能
除了手动方式提高了您在 保护虚拟机的最佳实践 中列出的虚拟机的安全性外,很多安全功能是由 libvirt 软件套件提供的,并在 RHEL 8 中使用虚拟化时自动启用。它们是:
- 系统和会话连接
要访问 RHEL 8 中所有可用的虚拟机管理工具,您需要使用 libvirt 的 系统连接 (
qemu:///system
)。为此,您必须在系统上拥有 root 权限,或者是 libvirt 用户组的成员。不属于 libvirt 组中的非 root 用户只能访问 libvirt 的 会话连接 (
qemu:///session
),后者必须在访问资源时遵守本地用户的访问权限。例如,使用会话连接,您无法检测或访问系统连接中或由其他用户创建的虚拟机。另外,可用的 VM 网络配置选项也有很大限制。注意RHEL 8 文档假设您有系统连接特权。
- 虚拟机分离
- 单个虚拟机作为隔离进程在主机上运行,并依赖于主机内核强制的安全性。因此,虚拟机无法读取或访问同一主机上其他虚拟机的内存或存储。
- QEMU 沙盒
- 此特性可防止 QEMU 代码执行可能会破坏主机安全性的系统调用。
- 内核地址空间随机化(KASLR)
- 启用对内核镜像解压缩的物理和虚拟地址进行随机化。因此,KASLR 会根据内核对象的位置防止客户机安全漏洞。