23.10. 为 UEFI 系统部署自定义签名的 IMA 策略
在安全引导环境中,您可能希望只加载由自定义 IMA 密钥签名的 IMA 策略。
先决条件
- MOK 列表包含自定义 IMA 密钥。有关指南,请参阅 通过向 MOK 列表中添加公钥来在目标系统上注册公钥。
- 系统上安装的内核具有 5.14.0-335 或更高版本。
流程
- 启用安全引导.
永久添加
ima_policy=secure_boot
内核参数。具体说明请参阅 使用 sysctl 永久配置内核参数。
运行以下命令准备您的 IMA 策略:
# evmctl ima_sign /etc/sysconfig/ima-policy -k <PATH_TO_YOUR_CUSTOM_IMA_KEY> Place your public certificate under /etc/keys/ima/ and add it to the .ima keyring
运行以下命令,使用自定义 IMA 代码签名密钥签名策略:
# keyctl padd asymmetric CUSTOM_IMA1 %:.ima < /etc/ima/keys/my_ima.cer
运行以下命令载入 IMA 策略:
# echo /etc/sysconfig/ima-policy > /sys/kernel/security/ima/policy # echo $? 0