搜索

8.5. 启用完整性测量架构和扩展验证模块

download PDF

完整性测量架构(IMA)和扩展验证模块(EVM)是内核完整性子系统的组成部分,以各种方式增强系统安全性。配置 IMA 和 EVM 可让您签署文件,从而增强系统的安全性。

先决条件

  • The ima-evm-utilskeyutils 软件包安装在您的系统上。
  • securityfs 文件系统挂载到 /sys/kernel/security/ 目录。
  • 存在 /sys/kernel/security/ima/ 目录。

    # mount
    …​
    securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
    …​

流程

  1. 准备您的系统以启用 IMA 和 EVM:

    1. 添加以下内核命令行参数:

      # grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix ima_appraise_tcb evm=fix"

      命令在 fix 模式中为当前引导条目启用 IMA 和 EVM,并允许用户收集和更新 IMA 测量。

      The ima_appraise_tcb 内核命令行参数确保内核使用默认的可信计算基础(TCB)测量策略和实例步骤。强制禁止访问之前和当前测量结果不匹配的文件。

    2. 重启以使更改生效。
    3. (可选)验证内核命令行是否包含新参数:

      # cat /proc/cmdline
      BOOT_IMAGE=/vmlinuz-3.10.0-1136.el7.x86_64 root=/dev/mapper/rhel-root ro crashkernel=auto spectre_v2=retpoline rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet LANG=en_US.UTF-8 ima_appraise=fix ima_appraise_tcb evm=fix
  2. 为 EVM 创建并设置公共和私有密钥对:

    1. 为 EVM 创建新密钥环:

      # evm_kr_id=$(keyctl newring _evm @u)

      命令创建 _evm 密钥环,并将它连接到 @u 系统用户密钥环。然后,_ evm 的密钥环 ID 分配给 evm_kr_id 变量,以便更轻松地处理。

    2. 另外,还可查看新创建的密钥环:

      # keyctl show
      Session Keyring
      1025767139 --alswrv   0     0  keyring: _ses
      548660789 --alswrv   0 65534   \_ keyring: _uid.0
      456142548 --alswrv   0     0       \_ keyring: _evm
    3. 为密钥创建一个目录:

      # mkdir -p /etc/keys/
    4. /etc/keys/privkey.pem 文件中生成 1024 位 RSA 私钥:

      # openssl genrsa -out /etc/keys/privkey.pem 1024
      Generating RSA private key, 1024 bit long modulus
      .......++++++
      ...++++++
      e is 65537 (0x10001)
    5. 使用之前创建的 /etc/keys/privkey.pem 私钥,将对应的 RSA 公钥派生到 /etc/keys/pubkey.pem 文件中:

      # openssl rsa -pubout -in /etc/keys/privkey.pem -out /etc/keys/pubkey.pem
      writing RSA key
    6. 将公钥导入到专用的 EVM 密钥环中:

      # evmctl import --rsa /etc/keys/pubkey.pem $evm_kr_id
      1054989579

      命令将 /etc/keys/pubkey.pem 公钥导入到 _evm 密钥环中。然后,_evm 密钥环附加到内核密钥环。密钥序列号位于上例的第二行。

    7. 另外,还可查看新导入的密钥:

      # keyctl show
      Session Keyring
      1025767139 --alswrv   0     0  keyring: _ses
      548660789 --alswrv   0 65534   \_ keyring: _uid.0
      456142548 --alswrv   0     0       \_ keyring: _evm
      1054989579 --alswrv   0     0           \_ user: FA0EF80BF06F80AC
      注意

      此非对称密钥对可用于使用 evmctl 符号 命令以数字方式签署文件的扩展属性的内容。扩展属性稍后由内核验证。

    8. 创建一个内核主密钥来保护 EVM 密钥:

      # dd if=/dev/urandom bs=1 count=32 2>/dev/null | keyctl padd user kmk-user @u

      内核主密钥(kmk)完全保留在内核空间内存中。内核主密钥 kmk 的 32 字节长值是从 /dev/urandom 文件中随机字节生成的,并放置在用户(@u)密钥环中。

  3. 根据 kmk 密钥创建一个加密的 EVM 密钥:

    # keyctl add encrypted evm-key "new user:kmk 64" @u
    351426499

    命令使用 kmk 生成并加密 64 字节用户密钥(名为 evm-key)并将其放置在用户(@u)密钥环中。密钥序列号位于上例的第二行。

    重要

    必须为用户密钥 evm-key 命名,因为这是 EVM 子系统预期并可使用的名称。

  4. 激活 EVM:

    # echo 1 > /sys/kernel/security/evm
  5. 验证 EVM 是否已初始化:

    dmesg | tail -1
    […​] EVM: initialized
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.