扩展Linux完整性度量IMA/EVM到Android

最新推荐文章于 2024-03-31 21:32:54 发布
最新推荐文章于 2024-03-31 21:32:54 发布
阅读量7.9k 收藏 17
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laviolette/article/details/51351672
版权
本文介绍了完整性度量IMA和EVM的概念,它们用于检测文件的离线修改,增强系统的安全性。IMA通过文件内容的哈希值进行校验,而EVM则检查文件属性和扩展属性。文章详细阐述了如何将IMA/EVM扩展到Android系统,包括内核配置、密钥生成、工具集成以及系统启动时的验证。调试过程中的一些关键点也进行了总结。
摘要由CSDN通过智能技术生成

1. 完整性度量概述

  • 运行时的系统完整性由系统的访问控制机制保证,如DAC(Discrete Access Control, 间接访问控制)/MAC(Mandatory Access Control, 强制访问控制,如SELinux, Smack)。
  • DAC/MAC无法检测文件的离线修改;加密文件系统可以保护非法访问,但开销大,效率相对较低。
  • 完整性度量,将文件内容和文件的属性/扩展属性,通过加密哈希生成对应的ima/evm串,以扩展属性方式保存在文件系统节点中;系统运行时在文件被访问前,内核IMA/EVM模块通过校验文件的ima/evm串,判断文件是否被离线非法篡改过;如果有,返回非法结果给selinux,从而阻止访问或运行该文件。
Linux的完整性子系统(引自Dmitry的PPT):


IMA

  • 对文件内容做加密哈希(HMAC),将结果存在文件的扩展属性security.ima,并以此校验文件内容是否被非法篡改过。
  • 创建并自动更新一个所有被访问文件的完整性度量表(/sys/kernel/security/ima/ascii_runtime_measurements),远程或本地读取该表可以判断哪些文件被改过。
  • 如果系统中有TPM硬件模块,IMA会将度量表扩展到TPM中,以保证度量表本身无法被篡改。
最低0.47元/天 解锁文章
laviolette
关注
linux验证模块,完整性测量架构(IMA)和Linux扩展验证模块(EVM)(Integrity Measurement Architecture(IMA) & Linux Extended Ver...
weixin_29156401的博客
05-13 1389
I am trying to activate IMA appraisal & EVM modules.After compiling linux kernel 3.10.2 on my bt5R3 and setting kernel boot option in a first time like this:GRUB_CMDLINE_LINUX="rootflags=i_version...
ima-evm-util工具编译
qq_37306332的博客
04-26 573
1.下载地址:https://sourceforge.net/p/linux-ima/ima-evm-utils/ci/master/tree/ 2.解压 3.编译: 1. 执行aclocal,产生aclocal.m4文件 aclocal 2. 执行autoconf,生成configure文件 autoconf 3. 执行automake命令,产生Makefile.in automake --add-missing 4. 执行configure命令,生成Makefile文件 ./configure
完整性度量架构(IMA)引见与分析
Sunshine_Dawn的博客
01-25 3248
(原文链接)完整性度量架构(IMA)引见与分析 - 软件架构设计 http://www.myexception.cn/software-architecture-design/1927411.html 完整性度量架构(IMA)介绍与分析 前言: 2004年,IBM在13th USENIXSecurity Symposium上发表文章《Design and Impl
IMA源码分析——度量事件记录与显示
lwyeluo的专栏
12-23 5443
IMA(Integrity Measurement Architecture)是内核中一个用来度量所有二进制加载、模块加载、动态链接库加载的模块,以用来记录平台的完整性证据本文对IMA度量事件的记录与显示部分进行源码分析,本文环境为ubuntu14.04.4,利用apt-get install linux-source后编译进入的内核版本为:root@vtpm:/sys/kernel/securit
Anolis商密OS最佳实践之IMA商密化 | 龙蜥SIG
weixin_60347558的博客
10-09 1226
商密软件栈SIG :基于 Anolis OS,在整个系统软件层面(包括硬件,固件,bootloader,内核以及 OS)实现以国密算法为主的全栈国密操作系统,结束一直以来国密算法生态碎片化的状况,在技术方面打造社区和生态,在资质合规方面致力于为行业提供基于国密的信息安全标准。作者:李艺林(伯纪),商密软件栈SIG核心成员。欢迎更多开发者加入商密软件栈SIG:网址:http...
动态度量 linux,扩展Linux完整性度量IMA/EVMAndroid
weixin_39926540的博客
05-13 1179
1.完整性度量概述运行时的系统完整性由系统的访问控制机制保证,如DAC(Discrete Access Control, 间接访问控制)/MAC(Mandatory Access Control, 强制访问控制,如SELinux, Smack)。DAC/MAC无法检测文件的离线修改;加密文件系统可以保护非法访问,但开销大,效率相对较低。完整性度量,将文件内容和文件的属性/扩展属性,通过加密哈希生...
ima-evm-utils0-1.3.2-12.el8.x86_64.rpm
12-05
官方离线安装包,亲测可用
Linux完整性保护机制与应用研究.pdf
09-06
本文主要探讨了Linux下的完整性保护机制,包括IMA(Integrity Measurement Architecture)、IMA Appraisal、EVM(Extended Verification Module)以及密钥存储策略。 IMA机制自Linux 2.6.30内核开始引入,旨在检测...
IMA/EVM完整性检测代码分析
inquisiter
06-01 2614
IMA hook机制中,需要定义一系列回调函数,包括measure、appraise、policy、inode_free和post_parse等函数。measure函数用于在文件读取之前计算文件的哈希值;appraise函数用于评估文件完整性;policy函数用于读取并更新IMA策略;inode_free函数用于在删除文件时更新操作系统的IMA状态信息;post_parse函数用于在解析之后更新文件系统缓存和错误日志。int ret;
LSM_module:使用 LSM 和 IMALinux 安全模块
07-17
LSM_module 使用 LSM 和 IMALinux 安全模块。 通过在 IMA完整性测量架构)的哈希校验和的帮助下将用户(进程)列入白名单,为对系统至关重要的文件提供额外的安全性。
Linux内核安全模块
最新发布
x3599573的博客
03-31 1232
LSM(inux Security Module)—— 体现为一组安全相关的函数目的:对用户态进程进行强制访问控制目的:防止数据被篡改IMA完整性度量体系架构 EVM扩展验证模块可信计算架构:​应用:PTS(Platform Trust Services)​库:TSS(Trusted Software Stack)​内核:IMAEVM、TPM驱动​启动:GRUB-IMA TBOOT​硬件:TPMTPM的运用:管理密钥、执行加解密运算、数字签名、安全存储数据。
IMA的简单理解
jason的笔记
05-18 3739
IMA的全称是The Integrity Measurement Architecture。他的作用是检测一个文件是否被修改,包括本地和远程修改.其原理是比较文件的hash值是否相等,这个hash值是被保存到文件系统的 extended attribute中.与之相似的的机制是selinux作为IMA的一种补充. IMA 子系统引入了一些hooks来创建和手机被打开准备读写的文件的hash.IMA机制在2.6.30的时候就被引入到linux kernel中. IMA的作用是手机文件的hast并将其放到用户.
Android手机可信引导解决方案
江淋的专栏
12-21 2170
1. 概述 Android手机的可信引导过程,主要分为三部分,lk的可信,boot的可信,和system的可信;系统上电到lk的启动过程验证,因为和硬件联系紧密,基本都由各自硬件厂商完成. lk就是bootloader,它由Pre-loader 启动,该模块在android手机中只可由fastboot工具刷入设备,它的大小一般在1M以下,那么lk的可信就由Pre-loader定
直播回顾:如何基于Linux内核构建起商用密码基础设施?| 龙蜥技术
weixin_60347558的博客
11-23 624
编者按:本文整理自龙蜥大讲堂技术解读,分享主题为《构建商用密码操作系统》,直播视频回放已上线至龙蜥社区官网(文末阅读原文直接跳转):首页-支持-视频,欢迎观看。作者张天佳,来⾃阿⾥云操作系统团队,是龙蜥社区商密软件栈 SIG 负责人。主要研究⽅向为 OS 安全,包括可信计算,机密计算,⽬前专注于国内商⽤密码的⼯程开发以及推广⼯作,我们团队主导开发了 Linux 内核、li...
Linux 完整性子系统及可信计算基础
weixin_54750412的博客
02-19 1790
**【摘要】**可信计算目前在主机主动安全防护中的作用越来越重要,但是具体落地上有不同的实现方式和取舍。本文介绍了可信计算的基本组成部分,结合系统安全目标、威胁方式以及Linux IMA完整性子系统,简述了可信在G银行第一阶段的落地实施方案。 转自@TWT社区,作者:Copper 前言 可信计算目前在主机主动安全防护中的作用越来越重要,但是具体落地上有不同的实现方式和取舍。本文介绍了可信计算的基本组成部分,结合系统安全目标、威胁方式以及Linux IMA完整性子系统,简述了可信在G银行第一阶段的落地实施方.
linux内核ima_main,linux内核结构详解
weixin_33488923的博客
05-01 660
Linux内核主要由五个子系统组成:进程调度,内存管理,虚拟文件系统,网络接口,进程间通信。1.进程调度(SCHED):控制多个进程对CPU的访问,使得多个进程能在CPU中微观串行运行,看起来却像是并行运行。驱动程序编程中,若没有获得资源则进入休眠,直到被唤醒。2.内存管理(MM)允许多个进程安全的共享主内存区域。Linux的内存管理支持虚拟内存(为每个进程进行虚拟内存到物理内存的转换)即在计算机...
如何在android进行ltp测试,Android系统完整性度量架构IMA-EVM
weixin_39608509的博客
05-26 192
错误2:/bin/bash:m4: command not found解决 :sudo apt-get install m4错误3:prebuilts/misc/linux-x86/bison/bison:No such file or directory原因 :ubuntu64位系统运行32位程序的问题,需要安装运行32位程序的兼容库解决 :sudo apt-get installlib3...
IMA 的简单介绍
雨翔的专栏
11-03 4189
本文的内容来自于http://domino.research.ibm.com/comm/research_people.nsf/pages/sailer.ima.html what is ima :       IMA是一个远程认证机构,它可以使远程对方相信系统正在运行程序是安全可信的。      另一种解释:IMA是一种软件体系结构,并且是Linux上的一个实现,他可以通过使用
IMA官方文档:Linux内核完整性度量与远程证实技术详解
IMA (Integrity Measurement Architecture) 是 Linux 内核引入的一种完整性度量框架,旨在增强系统的安全性,特别是在处理应用程序加载的模块、动态链接库和程序自身时。该框架是 Linux 安全性体系的一部分,包括...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值