Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

25.2. 通过基于 IMA 的 appraisal 启用内核的运行时完整性监控

为确保仅执行授权的软件包文件,请使用示例策略运行 ima-setup 命令来启用基于签名的 IMA appraisal。在 RHEL 9 中,所有软件包文件都为每个文件签名。

流程

  1. 运行 ima-setup 以启用基于签名的 IMA appraisal : 

    # ima-setup --policy=/usr/share/ima/policies/01-appraise-executable-and-lib-signatures

    这个命令:

    • 将软件包文件签名存储在 security.ima 中,适用于所有安装的软件包。
    • 包括 dracut integrity 模块,以将 IMA 代码签名密钥加载到内核。
    • 将策略复制到 /etc/ima/ima-policy,以便 systemd 在引导时加载它。

验证

  • ip 命令可以被成功执行。

  • 如果 ip 复制到 /tmp,默认情况下,它会丢失其 security.ima,因此 ip 命令不会被执行。 

    # cp /usr/sbin/ip /tmp
# /tmp/ip
     
    bash: /tmp/ip: Permission denied
     
    # /tmp/ip doesn't have security.ima
# getfattr -m security.ima -d /tmp/ip
# whereas /usr/sbin/ip has
# getfattr -m security.ima /usr/sbin/ip
# file: usr/sbin/ip
     
    security.ima=0sAwIE0zIESQBnMGUCMQCLXZ7ukyDcguLgPYwzXU16dcVrmlHxOta7vm7EUfX07Nf0xnP1MyE//AZaqeNIKBoCMFHNDOuA4uNvS+8OOAy7YEn8oathfsF2wsDSZi+NAoumC6RFqIB912zkRKxraSX8sA==

如果示例策略 01-appraise-executable-and-lib-signatures 没有满足您的要求,您可以创建并使用自定义策略。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

Legal Notice

Theme

© 2026 Red Hat返回顶部