2.2.2 KVMゲスト・セキュア・ブートの有効化

Oracle Exadata System Softwareリリース24.1.0では、セキュア・ブートがOracle Linux KVMゲストにまで拡張されています。

KVMゲスト・セキュア・ブートは、Oracle Linux KVMでUEFIブート・フレームワークを利用して、KVMゲストを起動できるバイナリを制限します。KVMでのUEFIのExadataサポートは、Oracle Exadata System Softwareリリース24.1.0で導入されました。したがって、KVMゲスト・セキュア・ブートは、Oracle Exadata System Softwareリリース24.1.0以降の新しいKVMゲストでのみ使用できます。

KVMゲスト・セキュア・ブートを使用するには、KVMゲストの基盤となるシステム・イメージでUEFIブートを有効にする必要があります。たとえば、KVMホストが新しいシステム・イメージを使用している(patchmgrを使用して更新されていない)場合、KVMホストで次のコマンドを実行して、UEFIブートを有効にできます:

# vm_maker --make-base-image --uefi-boot

コマンドが完了すると、新しいKVMゲストはすべて、Oracle Linux KVMでUEFIブート・フレームワークを自動的に使用し、KVMゲスト・セキュア・ブートが有効になります。UEFIなしで新しいゲストを作成することはできなくなりました。

KVMホストがpatchmgrを使用して更新されている場合は、UEFI対応のシステム・イメージをダウンロードしてインストールする必要があります。

必要に応じて、次の方法で、UEFIブート対応KVMゲストのKVMゲスト・セキュア・ブートを無効にできます:

• 既存のUEFIブート対応KVMゲストのKVMゲスト・セキュア・ブートを無効にするには、KVMホストで次のコマンドを実行します:

  # vm_maker --secure-boot disable --domain domain-name

  コマンドのdomain-nameは、既存のKVMゲストの名前を指定します。

  コマンドを実行すると、ゲストの再起動時にKVMゲスト・セキュア・ブートが無効になります。

• KVMゲスト・セキュア・ブートが無効になっている新しいKVMゲストを作成するには、KVMホストでvm_maker --start-domainコマンドを実行し、--secure-boot disableオプションを含めます。次に例を示します:

  # vm_maker --start-domain XML-config-file --secure-boot disable

  コマンドのXML-config-fileは、新しいゲストのXML構成ファイルの名前を指定します。

• すべての新しいUEFIブート対応KVMゲストのKVMゲスト・セキュア・ブートを無効にするには、KVMホストで次のコマンドを実行します:

  # vm_maker --secure-boot disable --system

  このコマンドを実行すると、KVMゲスト・セキュア・ブートが無効になった状態で、すべての新しいUEFIブート対応KVMゲストが作成されます。このコマンドは、既存のゲストには影響しません。

KVMゲストのブート構成を確認するには、KVMホストで次のコマンドを実行します:

# parted -s /EXAVMIMAGES/GuestImages/guest-name/System.img p

コマンドのguest-nameは、KVMゲストの名前を指定します。

コマンド出力で、KVMゲストのブート構成を示す次のいずれかのフラグがないか調べます:

• efi: ゲストがOracle Linux KVMでUEFIブート・フレームワークを使用することを示します。

• bios_grub: ゲストがUEFI以外の仮想BIOSを使用することを示します。

KVMゲスト・セキュア・ブートのステータスを確認するには、KVMゲストで次のコマンドを実行します:

# mokutil --sb-state
SecureBoot enabled