🌺

Hyper-V 上に AlmaLinux 9.3 を インストールする

2024/03/13に公開

Linux でも Hyper-V のセキュアブートは有効で使う方がいい

積極的にセキュアブートを活用すると良いんじゃないかな。

Hyper-V の設定

世代の指定

基本的に第 2 世代を選んでおけば良いです。

https://learn.microsoft.com/ja-jp/windows-server/virtualization/hyper-v/plan/should-i-create-a-generation-1-or-2-virtual-machine-in-hyper-v

次のステートメントのいずれかが true でない限り、セキュア ブートのような機能を活用する第 2 世代仮想マシンを作成することをお勧めします。

  • 既存の事前構築済み仮想ディスク (VHD または VHDX) を使っていて、UEFI と互換性がない。
  • 第 2 世代仮想マシンで実行するオペレーティング システムをサポートしていません。
  • 第 2 世代は、使用するブート方法をサポートしていません。

若干読みにくい文章になっていますが、要するにセキュアブートはお勧め。

新規作成ウィザード

  • 新規 > 仮想マシン
    • 名前と場所の指定: お好きにどうぞ
    • 世代の指定: 第 2 世代
    • メモリの割り当て
      • 起動メモリ: 適当に
      • この仮想マシンに動的メモリを使用します: ✅
    • ネットワークの構成: お好きにどうぞ
    • 仮想ハードディスクの接続: 〃
    • インストールオプション: 〃

その他の設定

  • メモリ
    • 動的メモリは有効のままで良いです。
    • 最小・最大は既定値のままでも良いと思います。なんとなく変えてますけど。

動的メモリ

必要な分だけ割り当ててメモリを効率的に使用する。

メモリ要求


セキュアブートは、仮想マシンの作成時に既定で有効になっています。

Linux でもテンプレートを変更すると普通に使えます。

https://learn.microsoft.com/ja-jp/windows-server/virtualization/hyper-v/learn-more/generation-2-virtual-machine-security-settings-for-hyper-v

テンプレート名 説明
Microsoft Windows Windows オペレーティング システムの仮想マシンのセキュア ブートを有効にする場合に選択します。
Microsoft UEFI 証明機関 Linux ディストリビューション オペレーティング システムの仮想マシンを安全にブートする場合に選択します。
オープン ソースのシールドされた VM このテンプレートは、Linux ベースのシールドされた VM のセキュア ブートを有効にする場合に利用します。
  • セキュリティ
    • セキュアブート
      • セキュア ブートを有効にする: ✅ (推奨)
      • テンプレート: Microsoft UEFI 証明機関
    • 暗号化のサポート
      • トラステッド プラットフォーム モジュールを有効にする: ✅ (適宜)

TPM は、Windows 11 の要件を満たしている CPU なら使えると思います。

Ryzen 5 5600X は OK

Ryzen 5 5600X

Opteron 3280 は TPM を有効にすると起動できないのでオフにしています。

Opteron 3280

  • その他: お好みで。

Linux の設定

インストールに関しては基本的にお好きにどうぞという感じですが、
セキュリティ設定に関しては書きます。

以下の記事が大変参考になります。

https://manual.sakura.ad.jp/vps/support/security/firstsecurity.html

ここでは root アカウントは使用しません。
root でログインはしないし、suで root に切り替えての操作もしない。
管理者権限が必要な操作はsudoを利用して行います。

ユーザーの作成は以下に設定します。

  • ユーザーの作成
    • このユーザーを管理者にする: ✅

rootは無効

root アカウントは使用しないので、

root アカウントは無効になっています

のままで OK

既定値

以下 RHEL 9 で追加されたオプション。
どちらも既定値のままで良いです。(推奨)

  • root アカウントをロック: ✅
  • パスワードによる root SSH ログインを許可: (オフのまま)

その他の設定は適宜。

インストール後に、初期セキュリティ設定を行います。

以上


おまけ

2012 年 06 月 15 日の記事
http://partsdog.dospara.co.jp/archives/52274192.html

Discussion