2. 질의 응답
  3. Linux로 파일 다시 측정 IMA

Linux로 파일 다시 측정 IMA

2016-12-02 15 views
6

RHEL에 Linux IMA를 설치하기 위해이 안내서 http://linux-ima.sourceforge.net/linux-ima-content.html-20110907을 사용하려고합니다. 필자는 파일이 변경된 경우 필자가 선택한 민감한 파일을 다시 측정하도록 시스템을 설정하고 싶습니다 (파일 재 측정과 관련된 섹션에서 멈추었습니다). 내 /etc/fstab은 다음과 같습니다Linux로 파일 다시 측정 IMA

UUID = c8dbe0a9-8c0c-4aba-adff-bcf2dd4640da/ext4에, iversion의 기본값은 1 일

UUID = b1762b74-d517-4293-8b49-cdc06b94d78c/부팅을 ext3 기본값 1 2

UUID = 8c6b8003-7176-4cf4-ae23-a124f8768c36 스왑 스왑의 기본값은 0 0

내가 측정 목록을 확인하면, /sys/kernel/security/ima/ascii_runtime_measurements에서 I는 다음과 같이 하나 개의 항목을 참조하십시오

10 3f0d6c1e772444096d975aba704a10e4820eabab IMA 7b739f0b35c61d68bd664d352b6631c366aee34f boot_aggregate

내가 어떤 다른 측정은 내가/등 일부 파일을 변경/또는 다른 작업을 할 경우에도 게재 관찰하지 않습니다. 무엇이 잘못 될 수 있는지에 대한 생각은 없습니까?

출처

2016-12-02 DaTaBomB

답변

3

커널에 ima 정책을 제공해야합니다.

"ima_tcb"는 커널에 명령 줄 인수로 지정할 수있는 기본 정책입니다 (https://sourceforge.net/p/linux-ima/wiki/Home/#controlling-ima).

자신의 정책을 지정해야하는 경우 <securityfs>/ima/policy (https://sourceforge.net/p/linux-ima/wiki/Home/#defining-an-lsm-specific-policy)에 넣어야합니다.

출처

2016-12-05 13:49:15 andrey

+0

감사합니다. 이것은 다른 파일을 측정하고'ascii_runtime_measurements'에 다른 항목을 생성합니다. 그러나 나는 어떤 식 으로든 파일이 변경되면 다시 측정되는 파일을 보지 못하고 있습니다. – DaTaBomB

+0

IMA는 i_version을 기반으로 파일 변경을 감지하므로 i_version을 지원하도록 파일 시스템을 마운트해야합니다. http://linux-ima.sourceforge.net/linux-ima-content.html-20110907#IMA_re-measure – andrey

 관련 문제

  • 관련 문제 없음^_^