搜索

16.2. 保护虚拟机的最佳实践

download PDF

根据以下步骤,您的虚拟机被恶意代码利用,并用作攻击向量攻击您的主机系统的风险会大幅降低。

在客户端中:

  • 象保护物理机器一样保护虚拟机的安全。增强安全性的具体方法取决于客户端操作系统。

    如果您的虚拟机正在运行 RHEL 8,请参阅 保护 Red Hat Enterprise Linux 8 以了解有关提高客户机系统安全性的详细说明。

在主机端:

  • 当远程管理虚拟机时,请使用加密的工具(如 SSH)和网络协议(如 SSL)连接到虚拟机。
  • 确定 SELinux 处于 Enforcing 模式:

    # getenforce
    Enforcing

    如果 SELinux 被禁用或者处于 Permissive 模式,请参阅使用 SELinux 文档来激活 Enforcing 模式。

    注意

    SELinux Enforcing 模式也启用了 sVirt RHEL 8 特性。这是用于虚拟化的一组特殊的 SELinux 布尔值,可以 手动调整 以进行精细的虚拟机安全管理。

  • 使用带有 SecureBoot 的虚拟机:

    SecureBoot 是一种特性,可确保虚拟机运行加密签名的操作系统。这可防止因为恶意软件攻击而更改了操作系统的虚拟机引导。

    SecureBoot 只能在 AMD64 或 Intel 64 主机上安装使用 OVMF 固件的 Linux 虚拟机时应用。具体说明请参阅 创建一个 SecureBoot 虚拟机

  • 不要使用 qemu-* 命令,如 qemu-kvm

    QEMU 是 RHEL 8 中虚拟化架构的基本组件,但难以手动管理,而不正确的 QEMU 配置可能会导致安全漏洞。因此,红帽不支持使用大多数 qemu-* 命令。反之,使用 libvirt 工具,如virshvirt-installvirt-xml ,根据最佳实践来编排 QEMU。

    但请注意,支持 qemu-img 工具用于 虚拟磁盘镜像的管理

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.