8.5. 启用 IMA 和 EVM
您可以启用并配置完整性测量架构(IMA)和扩展验证模块(EVM)以提高操作系统的安全性。
始终与 IMA 一起启用 EVM。
虽然您可以单独启用 EVM,但 EVM appraisal 仅由 IMA appraisal 规则触发。因此,EVM 不会阻止 SELinux 属性等文件元数据。如果文件元数据被离线篡改,EVMVM 只能防止文件元数据更改。它不会阻止文件访问,如执行文件。
先决条件
安全引导被临时禁用。
注意启用安全引导后,
ima_appraise=fix
内核命令行参数无法正常工作。securityfs
文件系统挂载到/sys/kernel/security/
目录,并且/sys/kernel/security/integrity/ima/
目录存在。您可以使用mount
命令验证securityfs
挂载的位置:# mount ... securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime) ...
systemd
服务管理器打了补丁,以在引导时支持 IMA 和 EVM。使用以下命令验证:# grep <options> pattern <files>
例如:
# dmesg | grep -i -e EVM -e IMA -w [ 0.598533] ima: No TPM chip found, activating TPM-bypass! [ 0.599435] ima: Allocated hash algorithm: sha256 [ 0.600266] ima: No architecture policies found [ 0.600813] evm: Initialising EVM extended attributes: [ 0.601581] evm: security.selinux [ 0.601963] evm: security.ima [ 0.602353] evm: security.capability [ 0.602713] evm: HMAC attrs: 0x1 [ 1.455657] systemd[1]: systemd 239 (239-74.el8_8) running in system mode. (+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN2 -IDN +PCRE2 default-hierarchy=legacy) [ 2.532639] systemd[1]: systemd 239 (239-74.el8_8) running in system mode. (+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN2 -IDN +PCRE2 default-hierarchy=legacy)
流程
在 修复 模式下为当前引导条目启用 IMA 和 EVM,并通过添加以下内核命令行参数来允许用户收集和更新 IMA 测量:
# grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_policy=appraise_tcb ima_appraise=fix evm=fix"
该命令在 fix 模式下为当前引导条目启用 IMA 和 EVM,并允许用户收集和更新 IMA 测量。
ima_policy=appraise_tcb
内核命令行参数确保内核使用默认的可信计算基础(TCB)测量策略和 appraisal 步骤。评估步骤禁止访问之前和当前测量结果不匹配的文件。- 重启以使更改生效。
可选:验证参数是否已添加到内核命令行中:
# cat /proc/cmdline BOOT_IMAGE=(hd0,msdos1)/vmlinuz-4.18.0-167.el8.x86_64 root=/dev/mapper/rhel-root ro crashkernel=auto resume=/dev/mapper/rhel-swap rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet ima_policy=appraise_tcb ima_appraise=fix evm=fix
创建一个内核主密钥来保护 EVM 密钥:
# keyctl add user kmk "$(dd if=/dev/urandom bs=1 count=32 2> /dev/null)" @u 748544121
kmk
完全保留在内核空间内存中。kmk
的 32 字节长值是从/dev/urandom
文件中的随机字节生成的,并放在用户(@u
)密钥环中。密钥序列号位于前面输出的第一行。根据
kmk
创建加密的 EVM 密钥:# keyctl add encrypted evm-key "new user:kmk 64" @u 641780271
命令使用
kmk
生成并加密 64 字节长用户密钥(名为evm-key
),并将其放在用户(@u
)密钥环中。密钥序列号位于前面输出的第一行。重要用户密钥必须命名为 evm-key,因为它是 EVM 子系统预期使用的且正在使用的名称。
为导出的密钥创建一个目录。
# mkdir -p /etc/keys/
搜索
kmk
,并将其未加密的值导出到新目录中。# keyctl pipe $(keyctl search @u user kmk) > /etc/keys/kmk
搜索
evm-key
,并将其加密值导出到新目录中。# keyctl pipe $(keyctl search @u encrypted evm-key) > /etc/keys/evm-key
evm-key
已在早期由内核主密钥加密。可选:查看新创建的密钥。
# keyctl show Session Keyring 974575405 --alswrv 0 0 keyring: ses 299489774 --alswrv 0 65534 \ keyring: uid.0 748544121 --alswrv 0 0 \ user: kmk 641780271 --alswrv 0 0 \_ encrypted: evm-key # ls -l /etc/keys/ total 8 -rw-r--r--. 1 root root 246 Jun 24 12:44 evm-key -rw-r--r--. 1 root root 32 Jun 24 12:43 kmk
可选:如果密钥已从密钥环中删除,例如在系统重启后,您可以导入已导出的
kmk
和evm-key
,而不是创建新密钥。导入
kmk
。# keyctl add user kmk "$(cat /etc/keys/kmk)" @u 451342217
导入
evm-key
。# keyctl add encrypted evm-key "load $(cat /etc/keys/evm-key)" @u 924537557
激活 EVM。
# echo 1 > /sys/kernel/security/evm
重新标记整个系统。
# find / -fstype xfs -type f -uid 0 -exec head -n 1 '{}' >/dev/null \;
警告在不重新标记系统的情况下启用 IMA 和 EVM 可能会导致系统上的大多数文件无法访问。
验证
验证 EVM 是否已初始化。
# dmesg | tail -1 […] evm: key initialized