Red Hat Training

A Red Hat training course is available for RHEL 8

15.2. Melhores práticas para a fixação de máquinas virtuais

Seguir as instruções abaixo diminui significativamente o risco de suas máquinas virtuais serem infectadas por código malicioso e usadas como vetores de ataque para infectar seu sistema hospedeiro.

On the guest side:

  • Proteja a máquina virtual como se fosse uma máquina física. Os métodos específicos disponíveis para aumentar a segurança dependem do sistema operacional convidado.

    Se seu VM estiver executando o RHEL 8, consulte Configuração e gerenciamento de segurança no RHEL 8 para instruções detalhadas sobre como melhorar a segurança de seu sistema de convidados.

On the host side:

  • Ao gerenciar as VMs remotamente, use utilitários criptográficos como SSH e protocolos de rede como SSL para conectar-se às VMs.

  • Certifique-se de que a SELinux está em modo Enforcing: 

    # getenforce
Enforcing

    Se o SELinux estiver desativado ou no modo Permissive, consulte o documento Utilizando o SELinux para obter instruções sobre como ativar o modo de aplicação.

    Nota

    O modo SELinux Enforcing também permite o recurso sVirt RHEL 8. Este é um conjunto de booleans SELinux especializados para virtualização, que podem ser ajustados manualmente para uma gestão de segurança de VM de granulometria fina.

  • Use as VMs com SecureBoot:

    O SecureBoot é uma característica que garante que seu VM esteja rodando um SO criptograficamente assinado. Isto impede que as VMs cujo sistema operacional tenha sido alterado por um ataque de malware inicializem.

    O SecureBoot só pode ser aplicado ao instalar uma VM Linux que utiliza firmware OVMF. Para instruções, veja Seção 15.3, “Criando uma máquina virtual SecureBoot”.

  • Não utilize os comandos qemu-*, tais como qemu-img.

    QEMU é um componente essencial da arquitetura de virtualização no RHEL 8, mas é difícil de gerenciar manualmente, e configurações impróprias de QEMU podem causar vulnerabilidades de segurança. Portanto, o uso dos comandos qemu-* não é suportado pela Red Hat. Ao invés disso, é altamente recomendado interagir com QEMU usando libvirt utilitários, tais como virsh, virt-install e virt-xml, pois estes orquestram QEMU de acordo com as melhores práticas.

Recursos adicionais