Red Hat Training

A Red Hat training course is available for RHEL 8

15.3. Creación de una máquina virtual SecureBoot

A continuación se ofrecen instrucciones para crear una máquina virtual (VM) Linux que utilice la función SecureBoot, que garantiza que su VM ejecute un SO firmado criptográficamente. Si el SO invitado de una VM ha sido alterado por un malware, SecureBoot impide que la VM arranque, lo que detiene la posible propagación del malware a su máquina anfitriona.

Requisitos previos

  • La VM está utilizando el tipo de máquina Q35.

  • El paquete edk2-OVMF está instalado: 

    # yum install edk2-ovmf

  • Una fuente de instalación del sistema operativo (SO) está disponible localmente o en una red. Puede ser uno de los siguientes formatos:

    • Una imagen ISO de un medio de instalación
    • Una imagen de disco de una instalación VM existente
  • Opcional: Se puede proporcionar un archivo Kickstart para una configuración más rápida y sencilla de la instalación.

Procedimiento

  1. Utilice el comando virt-install para crear una VM como se detalla en Sección 2.2.1, “Creación de máquinas virtuales mediante la interfaz de línea de comandos”. Para la opción --boot, utilice el valor uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd. Esto utiliza los archivos OVMF_VARS.secboot.fd y OVMF_CODE.secboot.fd como plantillas para la configuración de la RAM no volátil (NVRAM) de la VM, lo que permite la función SecureBoot.

    Por ejemplo: 

    # virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.iso
  2. Siga el procedimiento de instalación del sistema operativo según las instrucciones que aparecen en la pantalla.
  3. Una vez instalado el SO huésped, acceda a la línea de comandos de la VM abriendo el terminal en la consola gráfica del huésped o conectándose al SO huésped mediante SSH.

  4. Compruebe que SecureBoot está activado mediante el comando mokutil --sb-state: 

    # mokutil --sb-state
SecureBoot enabled