Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

23.2. 通过基于 IMA 的 appraisal 启用内核的运行时完整性监控

从 RHEL 9 开始,所有软件包文件都是每个文件签名的,用户可以通过启用基于签名的 IMA appraisal 来确保只访问授权的软件包文件。

启用基于签名的 IMA appraisal : 

ima-setup --policy=/usr/share/ima/policies/01-appraise-executable-and-lib-signatures

这个命令:

  • 将软件包文件签名存储在 security.ima 中,适用于所有安装的软件包。
  • 包括 dracut integrity 模块,以将 IMA 代码签名密钥加载到内核。
  • 将策略复制到 /etc/ima/ima-policy,以便 systemd 在引导时加载它。

验证

  • ip 命令可以被成功执行。

  • 如果 ip 复制到 /tmp,默认情况下,它会丢失其 security.ima,因此 ip 命令不会被执行。 

    # cp /usr/sbin/ip /tmp
# /tmp/ip
-bash: /tmp/ip: Permission denied
# /tmp/ip doesn’t have security.ima
# getfattr -m security.ima -d /tmp/ip
# whereas /usr/sbin/ip has
# getfattr -m security.ima /usr/sbin/ip
# file: usr/sbin/ip
security.ima=0sAwIE0zIESQBnMGUCMQCLXZ7ukyDcguLgPYwzXU16dcVrmlHxOta7vm7EUfX07Nf0xnP1MyE//AZaqeNIKBoCMFHNDOuA4uNvS+8OOAy7YEn8oathfsF2wsDSZi+NAoumC6RFqIB912zkRKxraSX8sA==

如果示例策略 01-appraise-executable-and-lib-signatures 没有满足您的要求,您可以创建并使用自定义策略。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部