18.7. IBM Z에서 IBM Secure Execution 설정
IBM Z 하드웨어를 사용하여 RHEL 9 호스트를 실행하는 경우 VM에 대해 IBM Secure Execution를 구성하여 VM(가상 머신)의 보안을 개선할 수 있습니다.
보호 가상화라고도 하는 IBM Secure Execution를 통해 호스트 시스템이 VM의 상태 및 메모리 콘텐츠에 액세스할 수 없습니다. 결과적으로 호스트가 손상되더라도 게스트 운영 체제를 공격하기 위한 벡터로 사용할 수 없습니다. 또한 신뢰할 수 없는 호스트가 VM에서 중요한 정보를 얻지 못하는 데 Secure Execution를 사용할 수 있습니다.
다음 절차에서는 IBM Z 호스트의 기존 VM을 보안 VM으로 변환하는 방법을 설명합니다.
사전 요구 사항
시스템 하드웨어는 다음 중 하나입니다.
- IBM z15 이상
- IBM LinuxONE III 이상
시스템에 대해 보안 실행 기능이 활성화되어 있습니다. 확인하려면 다음을 사용합니다.
# grep facilities /proc/cpuinfo | grep 158이 명령을 실행하면 CPU가 Secure Execution와 호환됩니다.
커널에는 보안 실행 지원이 포함되어 있습니다. 확인하려면 다음을 사용합니다.
# ls /sys/firmware | grep uv명령에서 출력을 생성하면 커널이 Secure Execution를 지원합니다.
호스트 CPU 모델에는
압축해제 기능이 포함되어 있습니다. 확인하려면 다음을 사용합니다.# virsh domcapabilities | grep unpack <feature policy='require' name='unpack'/>명령에서 위의 출력을 생성하면 CPU 호스트 모델이 Secure Execution와 호환됩니다.
VM의 CPU 모드는
host-model로 설정됩니다. 이를 확인하려면 다음을 사용하고vm-name을 VM 이름으로 교체합니다.# virsh dumpxml vm-name | grep "<cpu mode='host-model'/>"명령에서 출력을 생성하면 VM의 CPU 모드가 올바르게 설정됩니다.
genprotimg 패키지가 호스트에 설치되어 있어야 합니다.
# dnf install genprotimg- IBM Z 호스트 키 문서를 취득하고 확인했습니다. 이 작업을 수행하는 방법은 IBM 문서의 호스트 키 문서 확인을 참조하십시오.
절차
호스트에서 다음 단계를 수행합니다.
prot_virt=1커널 매개 변수를 호스트의 부팅 구성에 추가합니다.# grubby --update-kernel=ALL --args="prot_virt=1"부팅 메뉴를 업데이트합니다.
# zipl-
virsh edit를 사용하여 보안하려는 VM의 XML 구성을 수정합니다. <
;launchSecurity type="s390-pv"/>를 </devices> 줄 아래에 추가합니다. 예를 들면 다음과 같습니다.[...] </memballoon> </devices> <launchSecurity type="s390-pv"/> </domain>-
구성의 <
devices> 섹션에virtio-rng장치( <rng model="virtio">)가 포함된 경우 <rng> </rng> 블록의 모든 행을 제거하십시오.
보호하려는 VM 의 게스트 운영 체제에서 다음 단계를 수행합니다.
매개 변수 파일을 생성합니다. 예를 들면 다음과 같습니다.
# touch ~/secure-parameters/boot/loader/entries디렉토리에서 최신 버전으로 부트 로더 항목을 식별합니다.# ls /boot/loader/entries -l [...] -rw-r--r--. 1 root root 281 Oct 9 15:51 3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf부트 로더 항목의 커널 옵션 행을 검색합니다.
# cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options options root=/dev/mapper/rhel-root rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap옵션 줄의 내용을 추가하고 생성된 매개 변수 파일에
swiotlb=262144를 추가합니다.# echo "root=/dev/mapper/rhel-root rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parametersIBM 보안 실행 이미지를 생성합니다.
예를 들어, 다음에서는
/boot/secure-image보안 이미지를/boot/vmlinuz-4.18.0-240.el8.s390x이미지,/boot/initramfs초기 RAM 디스크 파일,-4.18.0-240.el8.s390x.imgHKD-86-00020C2.4.4.41C.crt1을 기반으로 합니다.# genprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-imagegenprotimg유틸리티를 사용하면 커널 매개 변수, 초기 RAM 디스크 및 부팅 이미지가 포함된 보안 이미지가 생성됩니다.VM의 부팅 메뉴를 업데이트하여 보안 이미지에서 부팅합니다. 또한 필요하지 않으므로
initrd및옵션으로시작하는 행을 제거합니다.예를 들어 RHEL 8.3 VM에서
/boot/loader/entries/디렉토리에서 부팅 메뉴를 편집할 수 있습니다.# cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf title Red Hat Enterprise Linux 8.3 version 4.18.0-240.el8.s390x linux /boot/secure-image [...]부팅 가능한 디스크 이미지를 생성합니다.
# zipl -V보호되지 않은 원본 파일을 안전하게 제거합니다. 예를 들면 다음과 같습니다.
# shred /boot/vmlinuz-4.18.0-240.el8.s390x # shred /boot/initramfs-4.18.0-240.el8.s390x.img # shred secure-parameters
원래 부팅 이미지, 초기 RAM 이미지 및 커널 매개 변수 파일은 보호되지 않으며 제거되지 않는 경우에도 Secure Execution가 활성화된 VM은 시도 또는 중요한 데이터 마이닝에 취약할 수 있습니다.
검증
호스트에서
virsh dumpxml유틸리티를 사용하여 보안 VM의 XML 구성을 확인합니다. 설정에는 <launchSecurity type="s390-pv"/> 요소와 <rng model="virtio"> 요소가 포함되어야 합니다.# virsh dumpxml vm-name [...] <cpu mode='host-model'/> <devices> <disk type='file' device='disk'> <driver name='qemu' type='qcow2' cache='none' io='native'> <source file='/var/lib/libvirt/images/secure-guest.qcow2'/> <target dev='vda' bus='virtio'/> </disk> <interface type='network'> <source network='default'/> <model type='virtio'/> </interface> <console type='pty'/> <memballoon model='none'/> </devices> <launchSecurity type="s390-pv"/> </domain>
