我有 KVM 虚拟机管理程序 (软件 Raid1),并且创建了一些虚拟机。在主机中启用“SELinux”会对 Raid1 和客户机 (虚拟机) 产生不良影响吗?还是两者没有关系?
这是一个推荐的方法吗?
实际上,我默认启用了“强制”模式,但我注意到当我尝试SELinux为特定客户机(在其内部)禁用它时,我使用它并在其中Like创建/修改文件、文件夹等执行了一些操作:
- 我使用以下方法关闭了客人
virsh shutdown ... - 我再次启动了它,但令人惊讶的是,它在启用 SELinux 的情况下启动,而且我没有找到关闭客户机之前使用过的任何文件和文件夹!!
答案1
使用 KVM(以及一般的全机虚拟化)时,客户操作系统的内核与主机操作系统完全分离。因此,主机中的 SELinux 设置与客户机中的 SELinux 设置没有交互,反之亦然。
在主机中,当使用 libvirt 和 KVM 时,SELinux 用于限制 QEMU 二进制文件,这样任何试图突破客户机的行为都会被阻止。当然,建议在主机和客户机中都设置 SELinux 强制执行,以最大限度地提高保护级别。