Red Hat Training

A Red Hat training course is available for RHEL 8

15.5. Booleanos de virtualización

Para una configuración detallada de la seguridad de las máquinas virtuales en un sistema RHEL 8, puede configurar booleanos de SELinux en el host para garantizar que el hipervisor actúe de una manera específica.

Para listar todos los booleanos relacionados con la virtualización y sus estados, utilice el comando getsebool -a | grep virt:

$ getsebool -a | grep virt
[...]
virt_sandbox_use_netlink --> off
virt_sandbox_use_sys_admin --> off
virt_transition_userdomain --> off
virt_use_comm --> off
virt_use_execmem --> off
virt_use_fusefs --> off
[...]

Para activar un booleano específico, utilice el comando setsebool -P boolean_name on como root. Para desactivar un booleano, utilice setsebool -P boolean_name off.

La siguiente tabla enumera los booleanos relacionados con la virtualización disponibles en RHEL 8 y lo que hacen cuando están activados:

Tabla 15.1. Booleanos de virtualización de SELinux

Booleano de SELinuxDescripción

staff_use_svirt

Permite a los usuarios que no son root crear y pasar las máquinas virtuales a sVirt.

unprivuser_use_svirt

Permite a los usuarios sin privilegios crear y pasar las máquinas virtuales a sVirt.

virt_sandbox_use_audit

Permite a los contenedores de la caja de arena enviar mensajes de auditoría.

virt_sandbox_use_netlink

Permite que los contenedores de la caja de arena utilicen las llamadas del sistema netlink.

virt_sandbox_use_sys_admin

Permite que los contenedores sandbox utilicen las llamadas al sistema sys_admin, como el montaje.

virt_transition_userdomain

Permite que los procesos virtuales se ejecuten como dominios de usuario.

virt_use_comm

Permite a virt utilizar puertos de comunicación serie/paralelo.

virt_use_execmem

Permite que los huéspedes virtuales confinados utilicen memoria ejecutable y pila ejecutable.

virt_use_fusefs

Permite a virt leer los archivos montados en FUSE.

virt_use_nfs

Permite a virt gestionar los archivos montados en NFS.

virt_use_rawip

Permite a virt interactuar con sockets rawip.

virt_use_samba

Permite a virt gestionar archivos montados en CIFS.

virt_use_sanlock

Permite que los invitados virtuales confinados interactúen con el sanlock.

virt_use_usb

Permite a virt utilizar dispositivos USB.

virt_use_xserver

Permite a la máquina virtual interactuar con el sistema X Window.