Red Hat Summit8.5. 무결성 측정 아키텍처 및 확장 검증 모듈 활성화
무결성 측정 아키텍처(IMA) 및 EVM(Extended verification module)은 다양한 방식으로 시스템 보안을 향상시키는 커널 무결성 하위 시스템의 구성 요소입니다. IMA 및 EVM을 구성하면 파일에 서명하여 시스템 보안을 강화할 수 있습니다.
사전 요구 사항
-
ima-evm-utils및keyutils패키지가 시스템에 설치됩니다. -
securityfs파일 시스템은/sys/kernel/security/디렉토리에 마운트됩니다. /sys/kernel/security/ima/디렉토리가 있습니다.mount
# mount … securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime) …Copy to Clipboard Copied!
절차
IMA 및 EVM을 사용하도록 시스템을 준비합니다.
다음 커널 명령줄 매개변수를 추가합니다.
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix ima_appraise_tcb evm=fix"
# grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix ima_appraise_tcb evm=fix"Copy to Clipboard Copied! 명령을 사용하면 현재 부팅 항목에 대한 수정 모드에서 IMA 및 EVM을 사용할 수 있으며 사용자가 IMA 측정을 수집 및 업데이트할 수 있습니다.
ima_appraise_tcb커널 명령행 매개변수를 사용하면 커널에서 기본 Trusted Computing Base(TCB) 측정 정책 및 appraisal 단계를 사용합니다. 이전 측정 및 현재 측정이 일치하지 않는 파일에 대한 접근을 금지하는 단계 (Arraisal step forbids access to files whose prior and current measurements do not match.)- 변경 사항을 적용하려면 재부팅합니다.
선택적으로 커널 명령줄에 새 매개변수가 포함되어 있는지 확인합니다.
cat /proc/cmdline BOOT_IMAGE=/vmlinuz-3.10.0-1136.el7.x86_64 root=/dev/mapper/rhel-root ro crashkernel=auto spectre_v2=retpoline rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet LANG=en_US.UTF-8 ima_appraise=fix ima_appraise_tcb evm=fix
# cat /proc/cmdline BOOT_IMAGE=/vmlinuz-3.10.0-1136.el7.x86_64 root=/dev/mapper/rhel-root ro crashkernel=auto spectre_v2=retpoline rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet LANG=en_US.UTF-8 ima_appraise=fix ima_appraise_tcb evm=fixCopy to Clipboard Copied!
EVM의 공용 및 개인 키 쌍을 만들고 설정합니다.
EVM의 새 인증 키를 만듭니다.
evm_kr_id=$(keyctl newring _evm @u)
# evm_kr_id=$(keyctl newring _evm @u)Copy to Clipboard Copied! 이 명령은
_evm인증 키를 생성하여@u시스템 사용자 인증 키에 연결합니다. 그런 다음 나중에 더 편리하게 처리하기 위해_evm의 인증 키 ID가evm_kr_id변수에 할당됩니다.선택적으로 새로 생성된 인증 키를 확인합니다.
keyctl show
# keyctl show Session Keyring 1025767139 --alswrv 0 0 keyring: _ses 548660789 --alswrv 0 65534 \_ keyring: _uid.0 456142548 --alswrv 0 0 \_ keyring: _evmCopy to Clipboard Copied! 키의 디렉터리를 생성합니다.
mkdir -p /etc/keys/
# mkdir -p /etc/keys/Copy to Clipboard Copied! /etc/keys/privkey.pem파일에 1024비트 RSA 개인 키를 생성합니다.openssl genrsa -out /etc/keys/privkey.pem 1024
# openssl genrsa -out /etc/keys/privkey.pem 1024 Generating RSA private key, 1024 bit long modulus .......++++++ ...++++++ e is 65537 (0x10001)Copy to Clipboard Copied! 이전에 생성된
/etc/keys/privkey.pem개인 키를 사용하여 해당 RSA 공개 키를/etc/keys/pubkey.pem파일로 가져옵니다.openssl rsa -pubout -in /etc/keys/privkey.pem -out /etc/keys/pubkey.pem
# openssl rsa -pubout -in /etc/keys/privkey.pem -out /etc/keys/pubkey.pem writing RSA keyCopy to Clipboard Copied! 공개 키를 전용 EVM 인증 키로 가져옵니다.
evmctl import --rsa /etc/keys/pubkey.pem $evm_kr_id
# evmctl import --rsa /etc/keys/pubkey.pem $evm_kr_id 1054989579Copy to Clipboard Copied! 명령은
/etc/keys/pubkey.pem공개 키를_evm인증 키로 가져옵니다. 그런 다음_evm인증 키가 커널 인증 키에 연결됩니다. 키 일련 번호는 이전 예제의 두 번째 줄에 있습니다.선택적으로 새로 가져온 키를 확인합니다.
keyctl show
# keyctl show Session Keyring 1025767139 --alswrv 0 0 keyring: _ses 548660789 --alswrv 0 65534 \_ keyring: _uid.0 456142548 --alswrv 0 0 \_ keyring: _evm 1054989579 --alswrv 0 0 \_ user: FA0EF80BF06F80ACCopy to Clipboard Copied! 참고이 symmetric 키 쌍을 사용하여 eRuntimeConfig sign 명령을 사용하여 파일의 확장된 속성의 내용을 디지털
서명하는데 사용할 수 있습니다. 확장 속성은 나중에 커널에서 확인합니다.EVM 키를 보호하기 위해 커널 마스터 키를 생성합니다.
dd if=/dev/urandom bs=1 count=32 2>/dev/null | keyctl padd user kmk-user @u
# dd if=/dev/urandom bs=1 count=32 2>/dev/null | keyctl padd user kmk-user @uCopy to Clipboard Copied! 커널 마스터 키(
kmk)는 전적으로 커널 공간 메모리에 유지됩니다. 커널 마스터 키kmk의 32바이트 긴 값은/dev/urandom파일에서 임의의 바이트에서 생성되며 사용자(@u) 인증 키에 배치됩니다.
kmk키를 기반으로 암호화된 EVM 키를 만듭니다.keyctl add encrypted evm-key "new user:kmk 64" @u
# keyctl add encrypted evm-key "new user:kmk 64" @u 351426499Copy to Clipboard Copied! 명령은
kmk를 사용하여 64바이트 사용자 키(evm-key)를 생성하고 암호화하며 사용자(@u) 인증 키에 배치합니다. 키 일련 번호는 이전 예제의 두 번째 줄에 있습니다.중요이는 EVM 하위 시스템에서 예상하고 함께 작동하는 이름이므로 사용자 키 evm-key 의 이름을 지정해야 합니다.
EVM을 활성화합니다.
echo 1 > /sys/kernel/security/evm
# echo 1 > /sys/kernel/security/evmCopy to Clipboard Copied! EVM이 초기화되었는지 확인합니다.
dmesg | tail -1 […] EVM: initialized
dmesg | tail -1 […] EVM: initializedCopy to Clipboard Copied!
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}