在 KVM 主机中“强制”启用 SELinux 是否会导致客户机出现问题?

在 KVM 主机中“强制”启用 SELinux 是否会导致客户机出现问题?

我有 KVM 虚拟机管理程序 (软件 Raid1),并且创建了一些虚拟机。在主机中启用“SELinux”会对 Raid1 和客户机 (虚拟机) 产生不良影响吗?还是两者没有关系?

这是一个推荐的方法吗?

实际上,我默认启用了“强制”模式,但我注意到当我尝试SELinux为特定客户机(在其内部)禁用它时,我使用它并在其中Like创建/修改文件、文件夹等执行了一些操作:

  • 我使用以下方法关闭了客人virsh shutdown ...
  • 我再次启动了它,但令人惊讶的是,它在启用 SELinux 的情况下启动,而且我没有找到关闭客户机之前使用过的任何文件和文件夹!!

答案1

使用 KVM(以及一般的全机虚拟化)时,客户操作系统的内核与主机操作系统完全分离。因此,主机中的 SELinux 设置与客户机中的 SELinux 设置没有交互,反之亦然。

在主机中,当使用 libvirt 和 KVM 时,SELinux 用于限制 QEMU 二进制文件,这样任何试图突破客户机的行为都会被阻止。当然,建议在主机和客户机中都设置 SELinux 强制执行,以最大限度地提高保护级别。

相关内容