18.5. 가상 머신 보안을 위한 자동 기능
가상 시스템 보안 유지에 나열된 가상 시스템의 보안을 수동으로 개선하는 방법 외에도 libvirt 소프트웨어 제품군에서 여러 보안 기능을 제공하며 RHEL 9에서 가상화를 사용할 때 자동으로 활성화됩니다. 여기에는 다음이 포함됩니다.
- 시스템 및 세션 연결
RHEL 9에서 가상 머신 관리에 사용 가능한 모든 유틸리티에 액세스하려면 libvirt (
qemu:/// system )의 시스템 연결을
사용해야 합니다. 이렇게 하려면 시스템에 대한 root 권한이 있거나 libvirt 사용자 그룹의 일부로 있어야 합니다.libvirt 그룹에 없는 루트가 아닌 사용자는 리소스에 액세스할 때 로컬 사용자의 액세스 권한을 존중해야 하는 libvirt(
qemu:///session
)의 세션 연결에 만 액세스할 수 있습니다. 예를 들어 세션 연결을 사용하면 시스템 연결 또는 다른 사용자가 만든 VM을 검색하거나 액세스할 수 없습니다. 또한 사용 가능한 VM 네트워킹 구성 옵션은 상당히 제한됩니다.참고RHEL 9 문서에서는 시스템 연결 권한이 있다고 가정합니다.
- 가상 머신 분리
- 개별 VM은 호스트에서 격리된 프로세스로 실행되며 호스트 커널에서 적용되는 보안을 사용합니다. 따라서 VM은 동일한 호스트에 있는 다른 VM의 메모리 또는 스토리지를 읽거나 액세스할 수 없습니다.
- QEMU 샌드박스
- QEMU 코드가 호스트 보안을 손상시킬 수 있는 시스템 호출을 실행하지 못하도록 하는 기능입니다.
- Kernel Address Space Randomization (KASLR)
- 커널 이미지의 압축을 풀기 위한 물리적 주소 및 가상 주소를 임의로 설정할 수 있습니다. 따라서 KASLR은 커널 개체의 위치를 기반으로 게스트 보안 취약점을 악용하는 것을 방지합니다.