Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第24章 カーネル整合性サブシステムの拡張、カスタマイズ、およびトラブルシューティング

さまざまなセキュリティー要件と実稼働環境に対応するために、カーネル整合性サブシステムを拡張、カスタマイズ、トラブルシューティングします。

24.1. IMA 評価用の適切な参照値の生成
リンクのコピー

IMA 評価ルールを含む IMA ポリシーをデプロイする前に、そのルールによって管理されるすべてのファイルに、security.ima 拡張属性に格納された有効な参照値があることを確認してください。これらの参照値が欠落している場合、IMA によってシステムの正常な起動が妨げられたり、ファイルへのアクセスが拒否されたりする可能性があります。 

# ima-appraise-file </path/to/file>

24.1.1. イミュータブルなファイルの適切な参照として IMA 署名を追加する
リンクのコピー

整合性検証をサポートするために、イミュータブルなファイルの信頼できる参照値として IMA 署名を使用します。この方法を使用すると、有効な署名を持つファイルだけがアクセスされるようになるため、システムのセキュリティーとコンプライアンスが強化されます。

前提条件

  • IMA 評価ルールを含む IMA ポリシーを作成した。

手順

  1. rpm-plugin-ima をインストールします。 

    $ sudo dnf install rpm-plugin-ima -yq

    これにより、パッケージのインストール、再インストール、またはアップグレード時に、パッケージファイルの IMA 署名が security.xattr に自動的に保存されます。

  2. すべてのパッケージを再インストールします。 

    $ sudo dnf reinstall "*" -y

    これにより、すべてのパッケージの security.xattr 拡張属性が確実に更新されます。

  3. dracut の整合性モジュールを有効にすると、起動時に /etc/keys/ima 内の正式な IMA コード署名鍵が自動的に読み込まれます。 

    $ sudo dracut -f

検証

  • 署名が security.ima 拡張属性に正しく保存されていることを確認します。 

    $ # evmctl ima_verify -k /etc/keys/ima/redhatimarelease-10.der /usr/lib/systemd/systemd
keyid d3320449 (from /etc/keys/ima/redhatimarelease-10.der)
key 1: d3320449 /etc/keys/ima/redhatimarelease-10.der
/usr/lib/systemd/systemd: verification is OK

$ # evmctl ima_verify -k /etc/keys/ima/redhatimarelease-10.der /bin/bash
keyid d3320449 (from /etc/keys/ima/redhatimarelease-10.der)
key 1: d3320449 /etc/keys/ima/redhatimarelease-10.der
/bin/bash: verification is OK
...

24.1.2. ミュータブルなファイルの適切な参照値を生成する
リンクのコピー

時間の経過とともに変化する可能性のあるファイルの整合性を維持するには、必要に応じて参照値を生成し、更新します。これにより、システムがミュータブルなファイルの信頼性を正確に検証し、不正な変更を防止できるようになります。

前提条件

  • システムの root 権限がある。
  • IMA 評価ルールを含む IMA ポリシーを作成した。
  • IMA 評価用の適切な参照値を生成した。
  • セキュアブートが無効になっている。

手順

  1. オプション: 選択した IMA 評価ポリシーを有効にします。カスタムポリシーのみを使用する場合は、この手順をスキップしてください。組み込みの ima_policy=appraise_tcb を例として使用します。 

    # grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_policy=appraise_tcb"

    • s390x システムの場合は、さらに以下を実行します。 

      # zipl

  2. ima_appraise=fix カーネルコマンドラインパラメーターを追加して、IMA 評価の修正モードを有効にします。 

    # grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix"

    • s390x システムの場合は、さらに以下を実行します。 

      # zipl

  3. システムを再起動します。 

    # reboot

  4. オプション: カスタム IMA ポリシーを読み込みます。 

    # echo <path_to_your_custom_ima_policy> > /sys/kernel/security/ima/policy

  5. システム全体のラベルを付け直します。 

    # find / -fstype xfs -type f -uid 0 -exec head -c 0 '{}' \;

  6. ima_appraise=fix カーネルコマンドラインパラメーターを削除して、IMA 評価の修正モードをオフにします。 

    # grubby --update-kernel=/boot/vmlinuz-$(uname -r) --remove-args="ima_appraise=fix"

    • s390x システムの場合は、さらに以下を実行します。 

      # zipl
  7. セキュアブートが無効になっている場合は有効にします。

関連情報

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る