Red Hat Training

A Red Hat training course is available for RHEL 8

15.4. Recursos automáticos para segurança de máquinas virtuais

Além dos meios manuais para melhorar a segurança de suas máquinas virtuais listados em Seção 15.2, “Melhores práticas para a fixação de máquinas virtuais”, uma série de recursos de segurança são fornecidos pelo pacote de software libvirt e são automaticamente habilitados quando se utiliza a virtualização no RHEL 8. Estes incluem:

Sessões do sistema e do usuário

Para acessar todas as utilidades disponíveis para o gerenciamento de máquinas virtuais no RHEL 8, você precisa usar o system session da libvirt. Para isso, você deve ter privilégios de root no sistema ou fazer parte do grupo de usuários libvirt.

Os usuários não-rotários que não fazem parte do grupo libvirt só podem acessar um user session de libvirt, que tem que respeitar os direitos de acesso do usuário local ao acessar os recursos. Por exemplo, na sessão do usuário, não é possível detectar ou acessar VMs criadas na sessão do sistema ou por outros usuários. Além disso, as opções de configuração de rede de VMs disponíveis são significativamente limitadas.

Nota

A documentação RHEL 8 assume que você tem privilégios de sessão do sistema libvirt.

Separação de máquinas virtuais
As VMs individuais funcionam como processos isolados no host, e dependem da segurança imposta pelo kernel do host. Portanto, uma VM não pode ler ou acessar a memória ou o armazenamento de outras VMs no mesmo host.
Caixa de areia QEMU
Uma característica que impede que o código QEMU execute chamadas ao sistema que podem comprometer a segurança do host.
Randomização do espaço de endereços do Kernel (KASLR)
Permite a randomização dos endereços físicos e virtuais nos quais a imagem do núcleo é descompactada. Assim, o KASLR impede explorações de segurança de hóspedes com base na localização dos objetos do kernel.