18.3. SecureBoot 가상 머신 생성
VM이 암호화 방식으로 서명된 OS를 실행하고 있는지 확인하는 SecureBoot 기능을 사용하는 Linux VM(가상 머신)을 만들 수 있습니다. 이 기능은 VM의 게스트 OS가 악성 코드에 의해 변경된 경우에 유용할 수 있습니다. 이러한 시나리오에서는 SecureBoot가 VM이 부팅되지 않도록 하여 호스트 시스템에 악성 코드가 발생할 수 없도록 합니다.
사전 요구 사항
- VM에서 Q35 시스템 유형을 사용합니다.
edk2-OVMF
패키지가 설치됩니다.# dnf install edk2-ovmf
운영 체제(OS) 설치 소스는 로컬 또는 네트워크에서 사용할 수 있습니다. 다음 형식 중 하나일 수 있습니다.
- 설치 미디어의 ISO 이미지
기존 VM 설치의 디스크 이미지
주의RHEL 9에서는 호스트 CD-ROM 또는 DVD-ROM 장치에서 설치할 수 없습니다. RHEL 9에서 사용할 수 있는 VM 설치 방법을 사용할 때 CD-ROM 또는 DVD-ROM을 설치 소스로 선택하면 설치에 실패합니다. 자세한 내용은 Red Hat 지식베이스 를 참조하십시오.
- 선택 사항: Kickstart 파일을 더 빠르고 쉽게 설치할 수 있도록 제공할 수 있습니다.
절차
virt-install
명령을 사용하여 명령줄 인터페이스를 사용하여 가상 머신 생성에 자세히 설명된 VM을 생성합니다.--boot
옵션의 경우uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd
값을 사용합니다. 이는OVMF_VARS.secboot.fd
및OVMF_CODE.secboot.fd
파일을 VM의 NVRAM(Non-volatile RAM) 설정 템플릿으로 사용하여 SecureBoot 기능을 활성화합니다.예를 들면 다음과 같습니다.
# virt-install --name rhel8sb --memory 4096 --vcpus 4 --os-variant rhel9.0 --boot uefi,nvram_template=/usr/share/OVMF/OVMF_VARS.secboot.fd --disk boot_order=2,size=10 --disk boot_order=1,device=cdrom,bus=scsi,path=/images/RHEL-9.0-installation.iso
- 화면의 지침에 따라 OS 설치 절차를 따르십시오.
검증
- 게스트 OS가 설치되면 그래픽 게스트 콘솔에서 터미널을 열거나 SSH를 사용하여 게스트 OS에 연결하여 VM의 명령줄에 액세스합니다.
VM에서 SecureBoot가 활성화되었는지 확인하려면
mokutil --sb-state
명령을 사용합니다.# mokutil --sb-state SecureBoot enabled