24.4. 加载由自定义 IMA 密钥签名的 IMA 策略

流程

1. 将自定义 IMA 代码签名密钥添加到 .ima 密钥环中：

   # keyctl padd asymmetric <KEY_SUBJECT> %:.ima < <PATH_TO_YOUR_CUSTOM_IMA_KEY>

   Copy to Clipboard Toggle word wrap

2. 准备 IMA 策略，并使用您的自定义 IMA 代码签名密钥对其进行签名：

   # evmctl ima_sign <PATH_TO_YOUR_CUSTOM_IMA_POLICY> -k <PATH_TO_YOUR_CUSTOM_IMA_KEY>

   Copy to Clipboard Toggle word wrap

3. 加载签名的 IMA 策略：

   # echo <PATH_TO_YOUR_CUSTOM_SIGNED_IMA_POLICY> > /sys/kernel/security/ima/policy
   # echo $?
   0

   Copy to Clipboard Toggle word wrap

   0

   表示 IMA 策略已被成功加载。如果命令返回非零值，则 IMA 策略没有成功加载。

   警告

   不要跳过这一步。如果这样做，您的系统可能无法引导，您需要恢复您的系统。

   如果 IMA 策略无法加载，请重复步骤 2 和 3 来修复问题。

4. 将签名的 IMA 策略复制到 /etc/ima/ima-policy 中，以便在引导时自动启用它：

   # cp --preserve=xattr <PATH_TO_YOUR_CUSTOM_IMA_POLICY> /etc/ima/ima-policy

   Copy to Clipboard Toggle word wrap

5. 使用 dracut 完整性模块，自动将自定义 IMA 代码签名密钥添加到引导时 .ima 密钥环中：

   # cp <PATH_TO_YOUR_CUSTOM_IMA_KEY> /etc/keys/ima/
   # cp --preserve=xattr /usr/share/ima/dracut-98-integrity.conf /etc/dracut.conf.d/98-integrity.conf
   # dracut -f

   Copy to Clipboard Toggle word wrap

   • 另外，s390x 系统：

     # zipl

     Copy to Clipboard Toggle word wrap