Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

仮想化セキュリティーガイド

Red Hat Enterprise Linux 6

仮想化環境のセキュリティー保護

Scott Radvan

Red Hat Engineering Content Services

Tahlia Richardson

Red Hat Engineering Content Services

Thanks go to the following people for enabling the creation of this guide:

Paul Moore

Red Hat エンジニアリング

Kurt Seifried

Red Hat エンジニアリング

David Jorm

Red Hat エンジニアリング

概要

本ガイドは、Red Hat が提供する仮想化セキュリティーテクノロジーについての概要を説明します。仮想化環境内のホスト、ゲスト、および共有インフラストラクチャー/リソースのセキュリティーを保護するための推奨事項を提供します。

第1章 はじめに

1.1. 仮想化環境と非仮想化環境

仮想化環境は、攻撃者にとって以前は価値がなかった新たな攻撃ベクトルの発見と既存のエクスプロイトの洗練の両方の機会を与えます。このため、仮想マシンを作成し、これを維持する際には、物理ホストとそのホスト上で実行されるゲストの両方のセキュリティーを確保するための対策を講じることが重要となります。
非仮想化環境

非仮想化環境では、ホストは物理的に相互分離しており、各ホストには Web サーバーや DNS サーバーなどのサービスで構成される自己完結型の環境があります。これらのサービスは、独自のユーザースペース、ホストカーネル、物理ホストと直接通信して、ネットワークにサービスを直接提供します。下図は、非仮想化環境を示しています。

非仮想化環境

図1.1 非仮想化環境

仮想化環境

仮想化環境では、複数のオペレーティングシステムを (「ゲスト」として) 単一のホストカーネルおよび物理ホストに格納することができます。下図は仮想化環境を示しています。

仮想化環境

図1.2 仮想化環境

サービスが仮想化されていない場合は、マシンは物理的に分離されています。したがって、エクスプロイトは影響を受けたマシンに抑えられます。ただし、ネットワーク攻撃は明らかな例外となります。仮想化環境内でサービスがグループ化されると、システムの脆弱性が高まります。ハイパーバイザーのセキュリティーに不備がある場合、ゲストインスタンスによるエクスプロイトを受ける可能性があり、そのゲストはホストのみならず、そのホスト上で実行されている他のゲストも攻撃できるようになる可能性があります。これは単に理論上の事柄ではなく、攻撃はすでにハイパーバイザー上に存在しています。それらの攻撃がゲストインスタンスを超えて、他のゲストが攻撃にさらされる可能性もあり得ます。

1.2. 仮想化セキュリティーが重要である理由

インフラストラクチャーに仮想化をデプロイすると、数多くのメリットがもたらされますが、新たなリスクが生じる可能性もあります。仮想化のリソースとサービスのデプロイにあたっては以下のようなセキュリティーに関する考慮事項を検討した上でデプロイを行う必要があります。
  • ホスト/ハイパーバイザーは第一のターゲットであり、ゲストとデータの単一障害点となることが多くあります。
  • 仮想マシンは望ましくない方法で相互干渉する場合があります。これを防ぐためのアクセス制御が導入されていないとすると、悪意のあるゲストが脆弱なハイパーバイザーをバイパスし、他のゲストのストレージなど、ホストシステム上の他のリソースに直接アクセスする可能性があります。
  • 仮想化システムを迅速にデプロイすると、十分なパッチ、モニタリング、メンテナンスなどのリソース管理の必要性が増大するため、リソースとサービスのトラッキングおよび維持管理が難しくなる場合があります。
  • 仮想化環境における技術スタッフの知識不足、技能の格差、経験不足などの問題が存在する可能性があります。このような問題は、多くの場合、脆弱性へとつながります。
  • ストレージなどのリソースが複数のマシンに散在し、それらのマシンに依存している場合があります。このような場合には環境が過度に複雑化してしまい、システムの管理とメンテナンスが不十分となる可能性があります。
  • 仮想化によって、環境内に存在する従来のセキュリティーリスクは排除されません。仮想化レイヤーのみでなく、ソリューションスタック全体のセキュリティーを保護する必要があります。
本ガイドは、仮想化環境のセキュリティー保護に役立つ、Red Hat Enterprise Linux および Red Hat Enterprise Virtualization の仮想化推奨プラクティスの数々をご紹介し、お客様のセキュリティーリスクを軽減することを目的としています。

1.3. sVirt を使用した SELinux の活用

sVirt は仮想化を SELinux (Security-Enhanced Linux) によって提供されている既存のセキュリティーフレームワークに組み込むことにより、強制アクセス制御 (MAC) を仮想マシンに適用します。sVirt の主な目的は、ハイパーバイザーのセキュリティーの脆弱性を利用した攻撃からホストとゲストを保護することです。SELinux は異なるプロセス全体にわたってアクセスポリシーを適用することでシステムを保護します。sVirt は、各ゲストをプロセスとして扱うことによりこの機能をホストとゲストにまで拡張し、悪意のあるゲストが制限付きリソースにアクセスするのを防ぐために設計されたのと同様のポリシーを管理者が適用できるようにします。sVirt についての詳しい情報は 4章sVirt を参照してください。

1.4. 他の参考文献

Red Hat では、様々な仮想化製品のドキュメントを豊富に提供しています。Red Hat Enterprise Linux およびその技術を組み込みこんだ仮想化製品については、以下のようなガイドで解説しています。
  • Red Hat Enterprise Linux 仮想化スタートガイド 』: 仮想化の概念、利点、ツールについて概説し、Red Hat の仮想化関連ドキュメントおよび製品の概要を記載しています。
  • Red Hat Enterprise Linux 仮想化ホスト設定およびゲストインストールガイド』: 仮想化ソフトウェアのインストールおよび仮想化ホスト上のゲストマシンの設定について記載しています。
  • Red Hat Enterprise Linux 仮想化管理ガイド』: virt-manager または virsh のいずれかを使用した、ホスト、ネットワーク、ストレージ、デバイス、ゲストの管理について説明し、libvirt および QEMU についての参考情報と、トラブルシューティング情報も記載しています。
  • Red Hat Enterprise Linux 仮想化セキュリティーガイド』: Red Hat が提供する仮想化セキュリティーテクノロジーについての概要を説明しています。また、仮想化環境内のホスト、ゲスト、共有インフラストラクチャー/リソースのセキュリティーを保護するための推奨事項も記載しています。
  • Red Hat Enterprise Linux 仮想化のチューニングと最適化ガイド』: システムおよびゲスト仮想マシンで、仮想化パフォーマンスの機能とオプションを最大限に活用するためのヒント、コツ、アドバイスを記載しています。
  • Red Hat Enterprise Linux V2V ガイド』 には、KVM、Xen、および VMware ESX/ESX(i) ハイパーバイザーから Red Hat Enterprise Virtualization および libvirt で管理されている KVM への仮想マシンのインポートについて記載しています。
Red Hat Enterprise Virtualization ドキュメントスイートは、Red Hat Enterprise Virtualization プラットフォームおよび関連製品のインストール、アプリケーション開発、設定、使用方法に関する情報を提供します。
  • Red Hat Enterprise Virtualization インストールガイド』: Red Hat Enterprise Virtualization 環境を準備し、セットアップする方法、および Red Hat Enterprise Virtualization 環境を最新リリースにアップグレードする方法について記載しています。さらに、ハイパーバイザーをセットアップする方法や、Red Hat Enterprise Virtualization 環境の初期設定を実行する方法についても概説しています。
  • Red Hat Enterprise Virtualization 管理ガイド』: Red Hat Enterprise Virtualization 環境を最初にセットアップした後に設定し、管理する方法について記載しています。これには、ハイパーバイザーやストレージドメイン、および外部プロバイダーを環境に追加する方法や、仮想マシン、仮想ディスクおよびテンプレートなどのリソースを管理する方法、およびバックアップを取る方法や復元する方法などが含まれます。
  • Red Hat Enterprise Virtualization ユーザーガイド』: 基本タブや拡張タブで提供される機能を含む Red Hat Enterprise Virtualization 環境のユーザーポータルの使い方、仮想マシンおよびテンプレートの作成および使用方法、さらにはリソース使用を監視する方法について記載しています。
  • Red Hat Enterprise Virtualization テクニカルガイド』: Red Hat Enterprise Virtualization に特有の REST API、Python、Java ソフトウェア開発キット、およびコマンドラインツールの使用方法について記載しています。さらに、Red Hat Enterprise Virtualization の背後にある基盤となる技術コンセプトについて概説しています。
  • Red Hat Enterprise Virtualization Manager リリースノート』: 現行リリースに固有の Red Hat Enterprise Virtualization Manager に関する情報が記載されています。
  • Red Hat Enterprise Virtualization テクニカルノート』: 現行リリースと旧リリース間の変更点を記載しています。

注記

これらの製品のガイドはすべて、Red Hat カスタマーポータル: https://access.redhat.com/site/documentation/ で提供しています。

第2章 ホストのセキュリティー

2.1. ホストのセキュリティーが重要である理由

仮想化テクノロジーをデプロイする際、ホストのセキュリティーは最優先事項になります。Red Hat Enterprise Linux のホストシステムは、物理デバイス、ストレージ、ネットワークへのアクセスに加えて、すべての仮想化ゲスト自体を管理し、これらを制御します。そのため、ホストシステムのセキュリティーが侵害されると、ホストシステムのみでなくゲストとそのデータまでもが攻撃を受ける可能性があります。
仮想化ゲストのセキュリティーはホストシステムにかかっています。Red Hat Enterprise Linux ホストシステムのセキュリティー保護は、セキュアな仮想化プラットフォームの確立に向けた第一歩です。

第3章 ゲストのセキュリティー

3.1. ゲストのセキュリティーが重要である理由

ホストシステムのセキュリティーは、そのホスト上で実行されているゲストを確実にセキュリティー保護するために極めて重要となりますが、ホストのセキュリティーによって個別のゲストマシンの適切なセキュリティー保護の必要性がなくなる訳ではありません。システムを仮想化ゲストとして実行する場合、従来の非仮想化システムに関連するセキュリティー上のリスクはすべて依然として存在します。ゲストシステムのセキュリティーが侵害されると、ビジネスデータや顧客の機密情報など、ゲストシステムにアクセス可能なリソースはいずれも攻撃を受けやすくなる可能性があります。

第4章 sVirt

4.1. 概要

KVM 下の仮想マシンは Linux プロセスとして実装されているため、KVM は標準の Linux セキュリティーモデルを活用して分離とリソースの制御を行います。Linux カーネルには、米国国家安全保障局によって開発されたプロジェクトである SELinux (Security-Enhanced Linux) が搭載されており、柔軟性の高いカスタマイズ可能なセキュリティーポリシーを通して、強制アクセス制御 (MAC)、マルチレベルセキュリティー (MLS)、およびマルチカテゴリーセキュリティー (MCS) を追加します。SELinux は、Linux カーネル上で実行されるプロセス (仮想マシンプロセスを含む) を対象とした、リソースの厳重な分離および隔離を行います。sVirt プロジェクトは SELinux を基盤として、仮想マシンの分離と制御された共有をさらに促進します。たとえば、粒度の細かいパーミッションを適用して仮想マシンをグループ化し、リソースを共有することができます。
セキュリティーの観点からすると、ハイパーバイザーは攻撃者の格好の的です。これは、ハイパーバイザーがセキュリティー侵害を受けると、そのホストシステム上で実行されている全仮想マシンのセキュリティーも被害を受けることになる可能性があるためです。仮想化テクノロジーに SELinux を組み込むと、ホストシステムや他の仮想マシンへのアクセスを試みる悪意のある仮想マシンに対するハイパーバイザーのセキュリティーを強化するのに役立ちます。
以下の図は、ゲストを分離することによって、セキュリティー侵害されたハイパーバイザー (またはゲスト) がさらなる攻撃を加えたり、別のインスタンスにまで被害を拡げたりする能力を抑える仕組みを示しています。
SELinux によって分離される攻撃パス

図4.1 SELinux によって分離される攻撃パス

注記

SELinux に関するさらに詳しい情報は、https://access.redhat.com/site/documentation/ の 『Red Hat Enterprise Linux Security-Enhanced Linux』 を参照してください。

4.2. SELinux と強制アクセス制御 (MAC)

Security-Enhanced Linux (SELinux) は、Linux カーネルにおける MAC の実装です。標準の任意アクセス制御 (DAC) がチェックされたあとに、許可された操作をチェックします。SELinux は、実行中のプロセスとそれらの動作 (例: ファイルシステムオブジェクトへのアクセスを試みるなど) に対して、ユーザーがカスタマイズ可能なセキュリティーポリシーを適用することができます。Red Hat Enterprise Linux では SELinux がデフォルトで有効化されており、アプリケーションやシステムサービス (例: ハイパーバイザー) の脆弱性の悪用によって生じる可能性のある潜在的被害の範囲を制限します。
sVirt は、仮想化管理用の抽象化レイヤーである libvirt と一体化して、仮想マシン用の MAC フレームワークを提供します。このアーキテクチャーは、libvirt によってサポートされている全仮想化プラットフォームと、sVirt によりサポートされている全 MAC 実装が相互運用可能となります。

4.3. sVirt の設定

SELinux ブール値は、オン/オフ切り替えが可能な変数で、機能やその他の特殊条件を迅速に有効化/無効化することができます。ブール値は、一時的な変更の場合は setsebool boolean_name {on|off}、再起動時に変更を永続化する場合は setsebool -P boolean_name {on|off} のいずれかを実行することによって切り替えることができます。
以下の表は、libvirt で始動された場合に KVM に影響する SELinux ブール値を示しています。これらのブール値 (オンまたはオフ) の現在の状態は、コマンド getsebool -a|grep virt を実行することにより確認できます。

表4.1 KVM SELinux のブール値

SELinux のブール値説明
staff_use_svirtstaff ユーザーが sVirt ドメインを作成し、それに移行することを許可します。
unprivuser_use_svirt非特権ユーザーが sVirt ドメインを作成し、それに移行することを許可します。
virt_sandbox_use_auditサンドボックスコンテナーが監査メッセージを送信することを許可します。
virt_sandbox_use_netlinkサンドボックスコンテナーがネットリンクシステム呼び出しを使用することを許可します。
virt_sandbox_use_sys_adminサンドボックスコンテナーが sys_admin システム呼び出しを使用することを許可します (例: mount)。
virt_transition_userdomain仮想プロセスがユーザードメインとして実行されることを許可します
virt_use_commvirt がシリアル/パラレル通信ポートを使用するのを許可します。
virt_use_execmem制限された仮想マシンが実行可能なメモリーおよび実行可能なスタックを使用することを許可します。
virt_use_fusefsvirt が FUSE マウントされたファイルを読み取るのを許可します。
virt_use_nfsvirt が NFS マウントされたファイルを管理するのを許可します。
virt_use_rawipvirt が rawip ソケットと通信することを許可します。
virt_use_sambavirt が CIFS マウントされたファイルを管理するのを許可します。
virt_use_sanlock隔離された仮想化ゲストが sanlock と対話するのを許可します。
virt_use_usbvirt が USB デバイスを使用するのを許可します。
virt_use_xserver仮想マシンが X Window System と対話するのを許可します。

注記

SELinux のブール値についてさらに詳しくは、https://access.redhat.com/site/documentation/ の 『Red Hat Enterprise Linux Security Enhanced Linux』 を参照してください。

4.4. sVirt のラベル

SELinux の保護下にある他のサービスと同様に、sVirt はプロセスベースのメカニズム、ラベル、制限を使用してセキュリティーを強化し、ゲストインスタンスを制御します。ラベルは、現在実行中の仮想マシンに基づいて、システム上のリソースに自動的に適用されます (動的) が、管理者が手動で指定して (静的)、特別な要件がある場合でも対応することが可能です。

4.4.1. sVirt ラベルのタイプ

以下の表には、仮想マシンのプロセス、イメージファイル、共有コンテンツなどのリソースに割り当てることができる、異なる sVirt ラベルについての説明をまとめています。

表4.2 sVirt ラベル

タイプSELinux コンテキスト説明/効果
仮想マシンプロセスsystem_u:system_r:svirt_t:MCS1MCS1 は無作為に選択されたフィールドです。現在は、約 500,000 のラベルがサポートされています。
仮想マシンのイメージsystem_u:object_r:svirt_image_t:MCS1これらのイメージファイルやデバイスの読み取り/書き込みができるのは、同じ MCS1 フィールドが付いた svirt_t プロセスのみです。
仮想マシンの共有読み取り/書き込みコンテンツsystem_u:object_r:svirt_image_t:s0svirt_t プロセスはすべて、svirt_image_t:s0 のファイルおよびデバイスに書き込むことができます。
仮想マシンの共有読み取り専用コンテンツsystem_u:object_r:svirt_content_t:s0svirt_t プロセスはすべて、このラベルがついたファイル/デバイスを読み取ることができます。
仮想マシンのイメージsystem_u:object_r:virt_content_t:s0イメージが存在する場合に使用されるシステムのデフォルトラベルです。svirt_t 仮想プロセスは、このラベルの付いたファイル/デバイスを読み取ることはできません。

4.4.2. 動的設定

動的ラベル設定は、sVirt を SELinux と併用する場合のデフォルトのラベルオプションです。以下の例は、動的ラベリングを示しています。
# ps -eZ | grep qemu-kvm

system_u:system_r:svirt_t:s0:c87,c520 27950 ?  00:00:17 qemu-kvm
この例では、qemu-kvm プロセスに system_u:system_r:svirt_t:s0 のベースラベルが付いています。libvirt システムは、このプロセス用に一意の MCS ラベル c87,c520 を生成しています。ベースラベルと MCS ラベルを組み合わせることにより、そのプロセス用の完全なセキュリティーラベルが形成されます。同様に、libvirt は同じ MCS ラベルとベースラベルを使用してイメージラベルを形成します。このイメージラベルは次に、ディスクイメージやディスクデバイス、PCI デバイス、USB デバイス、kernel/initrd ファイルなど、仮想マシンがアクセスする必要のある全ホストファイルに自動的に適用されます。各プロセスは、異なるラベルを使用して、他の仮想マシンから分離されます。
以下の例は、/var/lib/libvirt/images 内のゲストディスクイメージに適用された、仮想マシンの一意のセキュリティーラベル (この場合は、対応する MCS ラベルが c87,c520) を示しています。
# ls -lZ /var/lib/libvirt/images/*

  system_u:object_r:svirt_image_t:s0:c87,c520   image1
以下の例は、ゲストの XML 設定内の動的ラベルを示しています。
<seclabel type='dynamic' model='selinux' relabel='yes'>
  <label>system_u:system_r:svirt_t:s0:c87,c520</label>                  
  <imagelabel>system_u:object_r:svirt_image_t:s0:c87,c520</imagelabel>  
</seclabel>

4.4.3. ベースラベルを使用した動的設定

デフォルトのダイナミックモードのベースセキュリティーラベルを上書きするには、以下の例に示したように、XML ゲスト設定内の <baselabel> オプションを手動で設定することができます。
<seclabel type='dynamic' model='selinux' relabel='yes'>
  <baselabel>system_u:system_r:svirt_custom_t:s0</baselabel>
  <label>system_u:system_r:svirt_custom_t:s0:c87,c520</label>           
  <imagelabel>system_u:object_r:svirt_image_t:s0:c87,c520</imagelabel>  
</seclabel>

4.4.4. 動的リソースラベルを使用した静的設定

一部のアプリケーションは、セキュリティーラベルの生成を完全に制御する必要がありますが、リソースのラベル付けは依然として libvirt が行う必要があります。以下のゲスト XML 設定は、動的リソースラベルを使用した静的設定の例を示しています。
<seclabel type='static' model='selinux' relabel='yes'>
  <label>system_u:system_r:svirt_custom_t:s0:c87,c520</label>
</seclabel>

4.4.5. リソースラベルを使用しない静的設定

MLS (マルチレベルセキュリティー) または厳重に管理された環境で主に使用される、リソース再ラベルを使用しない静的設定が可能です。静的ラベルにより管理者は、仮想マシン用に MCS/MLS フィールドなどの特定のラベルを選択することができます。静的なラベルが付いた仮想マシンを実行する管理者は、イメージファイルに正しいラベルを設定する責任を担います。仮想マシンは常にそのラベルで起動し、sVirt システムは静的なラベルの付いた仮想マシンのコンテンツは決して変更しません。以下のゲスト XML 設定は、このシナリオの例を示しています。
<seclabel type='static' model='selinux' relabel='no'>
  <label>system_u:system_r:svirt_custom_t:s0:c87,c520</label>
</seclabel>

第5章 仮想化環境におけるネットワークセキュリティー

5.1. ネットワークセキュリティーの概要

大半の状況では、ネットワークはシステム、アプリケーション、管理インターフェースへの唯一のアクセス方法です。ネットワークは、仮想化システムの管理とそれらのシステムでホストされているアプリケーションの可用性において極めて重要な役割を果たすので、仮想化システムとデータをやり取りするネットワークチャネルをセキュアな状態に確保することは非常に重要です。
ネットワークのセキュリティー保護により、管理者は機密データのアクセスを制御して、情報の漏えいや改ざんから保護することができます。

付録A 追加情報

A.1. SELinux および sVirt

SELinux および sVirt に関する詳細情報:

A.2. 仮想化セキュリティー

仮想化セキュリティーに関する追加情報

付録B 改訂履歴

改訂履歴
改訂 0.4-21.3Mon Nov 3 2014Aiko Sasaki
校閱完了
改訂 0.4-21.2Fri Oct 31 2014Aiko Sasaki
翻訳完了
改訂 0.4-21.1Fri Oct 31 2014Aiko Sasaki
翻訳ファイルを XML ソースバージョン 0.4-21 と同期
改訂 0.4-21Fri Oct 10 2014Scott Radvan
6.6 GA リリース向けバージョン
改訂 0.4-20Fri Oct 10 2014Scott Radvan
USB および PF セキュリティーの脆弱性に関する警告を追加 (BZ#1150077)。
改訂 0.4-19Wed May 14 2014Tahlia Richardson
ブール値の一覧を更新 (BZ#1093284)。
ドキュメンテーション QE フィードバックを適用 (BZ#1093286BZ#1097058)。
改訂 0.4-18Tues Nov 19 2013Tahlia Richardson
6.5 GA リリース向けのバージョン
改訂 0.4-17Mon Sept 30 2013Tahlia Richardson
Hypervisor 導入ガイドをドキュメンテーションスイートの一覧から削除。
更新されたドキュメンテーションスイートの一覧および更新されたリンク (以前に変更済み) による発行。
改訂 0.4-16Sun Feb 17 2013Scott Radvan
6.4 GA リリース向けバージョン
改訂 0.4-15Wed Feb 13 2013Scott Radvan
6.4 リリースのレビュー
改訂 0.4-14Tue Jan 22 2013Scott Radvan
『他の参考文献』を「はじめに」に追加。
改訂 0.4-13Tue Jan 22 2013Scott Radvan
6.4 リリースのレビュー
改訂 0.4-12Sun Nov 25 2012Scott Radvan
ブール値に関する説明が 'semanage boolean -l' コマンドで表示される情報と一致するように変更。
改訂 0.4-11Sun Oct 28 2012Scott Radvan
サブタイトルを修正。
改訂 0.4-10Tue Oct 16 2012Scott Radvan
6.4 に関する正確性をレビュー。
改訂 0.4-9Thu Sep 27 2012Scott Radvan
新規ドキュメンテーションサイトへのリンクを修正。
改訂 0.4-08Fri Jul 20 2012Laura Bailey
ドキュメントが用語の使用ポリシーに適合していることを確認。
改訂 0.4-07Sun Jun 17 2012Scott Radvan
6.3 GA リリースに向けて発行。
改訂 0.4-06Fri Jun 15 2012Scott Radvan
Draft の透かしを削除し、6.3 ブランチ用に準備。
改訂 0.4-05Fri Jun 08 2012Scott Radvan
静的ラベルの出力例を並べ替え。
改訂 0.4-04Fri Jun 08 2012Scott Radvan
SME のレビューにしたがって若干修正。
改訂 0.4-03Tue Jun 05 2012Scott Radvan
QE レビューからの修正を追加 (BZ#828032)。
改訂 0.4-02Mon Jun 04 2012Scott Radvan
追加情報の章を追加し、寄稿者とリンクを記載。
改訂 0.4-01Mon Jun 04 2012Scott Radvan
メジャーバージョンアップ、校正および若干の編集。
改訂 0.2-06Wed May 30 2012Scott Radvan
「第 5 章 - 仮想化環境におけるネットワークセキュリティー」の初回執筆。
改訂 0.2-05Tue May 15 2012Scott Radvan
ゲスト内における root アクセスが望ましくない旨の記述を Guest_Security.xml に追加。
改訂 0.2-04Mon May 14 2012Scott Radvan
ネットワーク境界における SNMP についての警告を追加。
改訂 0.2-03Mon May 14 2012Scott Radvan
「ゲストセキュリティー」のセクションを追加。ネットワークポートのセクションを拡張して、エコー要求 (ping) および TCP/UDP について記載。パブリッククラウドの推奨事項にパススルーメカニズムについての追加情報を記載。ブール値のセクションを拡張し、マウント済みファイルシステムについて記述。
改訂 0.2-02Tue May 08 2012Scott Radvan
『概要」を「はじめに」に変更。
改訂 0.2-01Tue May 08 2012Scott Radvan
メジャーバージョンアップ。「ホストのセキュリティー」の章に SME からの情報を追加し、編集および校正。
改訂 0.1-15Thu Mar 29 2012Scott Radvan
「Red Hat Enterprise Virtualization のネットワークポート」のセクションを Host_Security.xml にインポート。
改訂 0.1-14Thu Mar 29 2012Scott Radvan
ベストプラクティスのセクションのタイトルを変更。ベストプラクティスという用語を置き換え。
改訂 0.1-13Wed Mar 28 2012Scott Radvan
新たなパブリッシングツールチェーンを使用してビルド。
改訂 0.1-12Mon Mar 20 2012Scott Radvan
SME レビューに向け、新セクション「1.2. 仮想化セキュリティーが重要である理由」を初めて公開。
改訂 0.1-11Mon Mar 20 2012Scott Radvan
「Red Hat Enterprise Linux のホストセキュリティーベストプラクティス」を「ホストセキュリティー」の章に移動。
改訂 0.1-10Mon Mar 20 2012Scott Radvan
SME の協力の下で目次を大幅に再編成。
改訂 0.1-09Mon Feb 14 2012Scott Radvan
序文の表現
改訂 0.1-08Mon Feb 13 2012Scott Radvan
新バージョンのパブリッシングツール
改訂 0.1-07Tue Feb 01 2012Scott Radvan
sVirt の章を SME レビュー向けに発行。
改訂 0.1-06Tue Jan 31 2012Scott Radvan
Draft の透かしを追加し、作成段階/社外秘の状態である旨を付記。
改訂 0.1-05Mon Jan 30 2012Scott Radvan
「はじめに」の章に追記。sVirt のラベルのセクションを配置。本ガイドでは記載していないシステムのセキュリティー強化トピックについての勧告を追加。
改訂 0.1-04Mon Jan 30 2012Scott Radvan
sVirt の章の表現を若干変更。「第 1 章: はじめに」を再編成し、フローを改善。
改訂 0.1-03Fri Jan 20 2012Scott Radvan
sVirt の章をさらに再編成。開発者からの初回のフィードバックと修正の取り込み。
改訂 0.1-02Tue Jan 17 2012Scott Radvan
文書のフローを大幅に再編成。一貫性のあるファイル名に変更。
改訂 0.1-01Tue Jan 17 2012Scott Radvan
初版作成。既存のテキストとコメントをインポート。

法律上の通知

Copyright © 2012, 2014 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.