Red Hat Training

A Red Hat training course is available for RHEL 8

15.3. SecureBoot の仮想マシンの作成

以下は、SecureBoot 機能を使用する Linux 仮想マシンを使用する方法を説明します。これは、仮想マシンが、暗号で署名された OS を実行していることを保証します。マルウェアが仮想マシンのゲスト OS を変更すると、SecureBoot により仮想マシンが起動しなくなり、ホストのマシンにマルウェアが広がらないようになります。

前提条件

  • 仮想マシンが Q35 マシンタイプを使用している。
  • edk2-OVMF パッケージがインストールされている。

    # yum install edk2-ovmf
  • オペレーティングシステム (OS) のインストールソースがローカルまたはネットワークで利用できる。これには、以下のいずれかの形式を使用できます。

    • インストールメディアの ISO イメージ
    • 既存の仮想マシンインストールのディスクイメージ
  • 任意: インストールをより速く、簡単に設定するために、キックスタートファイルを利用できます。

手順

  1. 「コマンドラインインターフェースを使用した仮想マシンの作成」 に従って、virt-install コマンドを使用して仮想マシンを作成します。--boot オプションには、uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd を使用します。これは、OVMF_VARS.secboot.fd ファイルおよび OVMF_CODE.secboot.fd ファイルをテンプレートとして使用します。仮想マシンの不揮発性 RAM (NVRAM) 設定のテンプレートとして使用します。これにより、SecureBoot 機能を有効にします。

    以下に例を示します。

    # virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel8.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-8.0-installation.iso
  2. 画面の指示に従って、OS のインストール手順を進めます。

検証

  1. ゲスト OS がインストールされたら、グラフィカルゲストコンソール で端末を開いて仮想マシンのコマンドラインにアクセスするか、SSH を使用 してゲスト OS へ接続します。
  2. 仮想マシンで SecureBoot が有効になっていることを確認するには、mokutil --sb-state コマンドを使用します。

    # mokutil --sb-state
    SecureBoot enabled

関連情報

  • ゲスト OS として RHEL 8 を使用する仮想マシンを作成する場合のインストールプロセスの詳細は「RHEL 8 インストールの起動」を参照してください。