23.10. 为 UEFI 系统部署自定义签名的 IMA 策略


在安全引导环境中,您可能希望只加载由自定义 IMA 密钥签名的 IMA 策略。

先决条件

流程

  1. 启用安全引导.
  2. 永久添加 ima_policy=secure_boot 内核参数。

    具体说明请参阅 使用 sysctl 永久配置内核参数

  3. 运行以下命令准备您的 IMA 策略:

    # evmctl ima_sign /etc/sysconfig/ima-policy -k <PATH_TO_YOUR_CUSTOM_IMA_KEY>
    Place your public certificate under /etc/keys/ima/ and add it to the .ima keyring
  4. 运行以下命令,使用自定义 IMA 代码签名密钥签名策略:

    # keyctl padd asymmetric CUSTOM_IMA1 %:.ima < /etc/ima/keys/my_ima.cer
  5. 运行以下命令载入 IMA 策略:

    # echo /etc/sysconfig/ima-policy > /sys/kernel/security/ima/policy
    # echo $?
    0
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.