Red Hat Training

A Red Hat training course is available for RHEL 8

15.5. Booleans de virtualização

Para uma configuração granulada fina da segurança das máquinas virtuais em um sistema RHEL 8, você pode configurar as booleanas SELinux no host para garantir que o hipervisor atue de uma forma específica.

Para listar todas as booleanas relacionadas à virtualização e seus status, use o comando getsebool -a | grep virt:

$ getsebool -a | grep virt
[...]
virt_sandbox_use_netlink --> off
virt_sandbox_use_sys_admin --> off
virt_transition_userdomain --> off
virt_use_comm --> off
virt_use_execmem --> off
virt_use_fusefs --> off
[...]

Para habilitar um booleano específico, use o setsebool -P boolean_name on comando como raiz. Para desativar um booleano, use setsebool -P boolean_name off.

A tabela a seguir lista as booleanas relacionadas à virtualização disponíveis no RHEL 8 e o que elas fazem quando ativadas:

Tabela 15.1. Booleans de virtualização SELinux

SELinux BooleanDescrição

staff_use_svirt

Permite que os usuários não-rootores criem e façam a transição de VMs para sVirt.

unprivuser_use_svirt

Permite que usuários sem privilégios criem e façam a transição de VMs para sVirt.

virt_sandbox_use_audit

Permite que os contentores de areia enviem mensagens de auditoria.

virt_sandbox_use_netlink

Permite que os recipientes de areia utilizem chamadas de sistema netlink.

virt_sandbox_use_sys_admin

Permite que recipientes de areia utilizem chamadas de sistema sys_admin, como, por exemplo, montagem.

virt_transition_userdomain

Permite que os processos virtuais sejam executados como domínios de usuário.

virt_use_comm

Permite que o virt utilize portas de comunicação serial/paralela.

virt_use_execmem

Permite que convidados virtuais confinados utilizem memória executável e pilha executável.

virt_use_fusefs

Permite que o virt leia arquivos montados em FUSE.

virt_use_nfs

Permite a virt gerenciar arquivos montados em NFS.

virt_use_rawip

Permite que o virt interaja com os soquetes em bruto.

virt_use_samba

Permite que o virt gerencie arquivos montados CIFS.

virt_use_sanlock

Permite que hóspedes virtuais confinados interajam com o sanlock.

virt_use_usb

Permite que o virt utilize dispositivos USB.

virt_use_xserver

Permite que a máquina virtual interaja com o Sistema X Window.