24.4. 사용자 정의 IMA 키로 서명한 IMA 정책 로드

시스템 무결성을 유지하고 조직의 보안 요구 사항을 충족하기 위해 자체 사용자 지정 IMA 키로 서명된 IMA 정책을 로드할 수 있습니다. 이 방법을 사용하면 시스템 시작 또는 런타임 중에 신뢰할 수 있고 인증된 정책만 적용됩니다.

참고

이 절차는 UEFI Secure Boot가 활성화된 x86_64 및 aarch64 시스템 및 PowerVM Secure Boot를 실행하는 ppc64le 시스템에만 적용됩니다.

사전 요구 사항

시스템에 대한 root 권한이 있어야 합니다.
Red Hat Enterprise Linux에 대해 UEFI Secure Boot가 활성화되거나 커널은 ima_policy=secure_boot 매개변수를 사용하여 부팅되어 서명된 IMA 정책만 로드할 수 있도록 합니다.
사용자 정의 IMA CA 키가 MOK 목록에 추가되었습니다. 자세한 내용은 MOK 목록에 공개 키를 추가하여 대상 시스템에서 공개 키 등록을 참조하십시오.
커널 버전은 5.14 이상입니다.
IMA 정책에 대해 좋은 참조 값이 생성되었습니다. 자세한 내용은 IMA 평가에 대한 좋은 참조 값 생성을 참조하십시오.

절차

사용자 정의 IMA 코드 서명 키를 .ima 인증 키에 추가합니다.

# keyctl padd asymmetric <KEY_SUBJECT> %:.ima < <PATH_TO_YOUR_CUSTOM_IMA_KEY>

IMA 정책을 준비하고 사용자 정의 IMA 코드 서명 키로 서명하십시오.
```
# evmctl ima_sign <PATH_TO_YOUR_CUSTOM_IMA_POLICY> -k <PATH_TO_YOUR_CUSTOM_IMA_KEY>
```
서명된 IMA 정책을 로드합니다.
```
# echo <PATH_TO_YOUR_CUSTOM_SIGNED_IMA_POLICY> > /sys/kernel/security/ima/policy
# echo $?
0
```
0
IMA 정책이 성공적으로 로드되었음을 나타냅니다. 명령에서 0이 아닌 값을 반환하면 IMA 정책이 성공적으로 로드되지 않았습니다.
주의
이 단계를 건너뛰지 마십시오. 이 경우 시스템을 부팅하지 못할 수 있으며 시스템을 복구해야 합니다.
IMA 정책을 로드하지 못하면 2단계와 3단계를 반복하여 문제를 해결합니다.
서명된 IMA 정책을 /etc/ima/ima-policy 에 복사하여 부팅 시 systemd 로드를 자동으로 활성화합니다.
```
# cp --preserve=xattr <PATH_TO_YOUR_CUSTOM_IMA_POLICY> /etc/ima/ima-policy
```
dracut 무결성 모듈을 사용하여 부팅 시 사용자 정의 IMA 코드 서명 키를 .ima 인증 키에 자동으로 추가합니다.
```
# cp <PATH_TO_YOUR_CUSTOM_IMA_KEY> /etc/keys/ima/
# cp --preserve=xattr /usr/share/ima/dracut-98-integrity.conf /etc/dracut.conf.d/98-integrity.conf
# dracut -f
```
- s390x 시스템의 경우 다음을 수행합니다.
  # zipl

검증

IMA 정책이 성공적으로 로드되었는지 확인합니다.
```
# cat /sys/kernel/security/ima/policy
```
출력에는 사용자 지정 IMA 정책의 규칙이 포함되어야 합니다.