IMA策略修改

最新推荐文章于 2023-06-01 20:20:15 发布
最新推荐文章于 2023-06-01 20:20:15 发布
阅读量4.5k 收藏 14
点赞数 4
分类专栏: 可信计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwyeluo/article/details/77244457
版权

默认的IMA策略在所有内核源码路径Documentation/ABI/testing/ima_policy下有说明

# PROC_SUPER_MAGIC
dont_measure fsmagic=0x9fa0
dont_appraise fsmagic=0x9fa0
# SYSFS_MAGIC
dont_measure fsmagic=0x62656572
dont_appraise fsmagic=0x62656572
# DEBUGFS_MAGIC
dont_measure fsmagic=0x64626720
dont_appraise fsmagic=0x64626720
# TMPFS_MAGIC
dont_measure fsmagic=0x01021994
dont_appraise fsmagic=0x01021994
# RAMFS_MAGIC
dont_measure fsmagic=0x858458f6
dont_appraise fsmagic=0x858458f6
# SECURITYFS_MAGIC
dont_measure fsmagic=0x73636673
dont_appraise fsmagic=0x73636673
measure func=BPRM_CHECK
measure func=FILE_MMAP mask=MAY_EXEC
measure func=FILE_CHECK mask=MAY_READ uid=0
measure func=MODULE_CHECK uid=0
appraise fowner=0

相关关键字说明:

  • action:

    • measure: 度量,将文件的完整性度量值存储在内核的一个链表中,如果有TPM硬件存在,还会将此度量值映射到TPM的某个PCR中。
    • dont_measure
    • appraise 评估,将文件现在的完整性度量值和存储在文件扩展属性“security.ima”中的度量值做比较。
    • dont_appraise
    • audit: 审计,生成一条审计日志消息,传给内核审计子系统

  • func:

    • BPRM_CHECK: 二进制执行程序
    • MMAP_CHECK: 共享链接库
    • FILE_CHECK: 文件
    • MODULE_CHECK:内核模块
    • FIRMWARE_CHECK
    • KEXEC_KERNEL_CHECK

  • mask: 在文件进行何种操作时进行度量

    • MAY_READ
    • MAY_WRITE
    • MAY_APPEND
    • MAY_EXEC

  • fsmagic:内核文件系统super_block结构体中s_magic。如proc文件系统的s_magic的值是0x9fa0

  • fsuuid:= file system UUID (e.g 8bcbe394-4f13-4144-be8e-5aa9ea2ce2f6) 通过blkid 获得

  • uid:= user id .比如0(root) 或者普通用户(id -u)。这个uid在资源统计和资源分配中使用。比如限制某用户拥有的进程数量

  • euid:= effective bid 即有效uid。在内核做特权判断时使用它。它的引入和提升权限有关。比如内核在做IPC和KEY的访问控制时也使用euid

  • fowner:=decimal value 比如 0(root)

测试

尝试通过修改IMA策略来忽略掉对/tmp、/var/cache等等的度量

我们注释掉root open文件这一项,将其写入IMA的policy文件

文件/etc/ima_policy

# PROC_SUPER_MAGIC
dont_measure fsmagic=0x9fa0
dont_appraise fsmagic=0x9fa0
# SYSFS_MAGIC
dont_measure fsmagic=0x62656572
dont_appraise fsmagic=0x62656572
# DEBUGFS_MAGIC
dont_measure fsmagic=0x64626720
dont_appraise fsmagic=0x64626720
# TMPFS_MAGIC
dont_measure fsmagic=0x01021994
dont_appraise fsmagic=0x01021994
# RAMFS_MAGIC
dont_measure fsmagic=0x858458f6
dont_appraise fsmagic=0x858458f6
# SECURITYFS_MAGIC
dont_measure fsmagic=0x73636673
dont_appraise fsmagic=0x73636673
measure func=BPRM_CHECK
# dont_measure func=FILE_CHECK
measure func=FILE_MMAP mask=MAY_EXEC
# measure func=FILE_CHECK mask=MAY_READ uid=0
measure func=MODULE_CHECK uid=0
# appraise fowner=0

修改两个文件:

/etc/initramfs-tools/hooks/ima.sh

#!/bin/sh

echo "Adding IMA binaries"

. /usr/share/initramfs-tools/hook-functions

copy_exec /etc/ima_policy

/etc/initramfs-tools/scripts/local-top/ima.sh

#!/bin/sh -e

PREREQ=""

# Output pre-requisites
prereqs()
{
        echo "$PREREQ"
}

case "$1" in
    prereqs)
        prereqs
        exit 0
        ;;
esac

grep -q "ima=off" /proc/cmdline && exit 1

mount -n -t securityfs securityfs /sys/kernel/security

IMA_POLICY=/sys/kernel/security/ima/policy
LSM_POLICY=/etc/ima_policy

grep -v "^#" $LSM_POLICY >$IMA_POLICY

为文件增加可执行权限

chmod +x /etc/initramfs-tools/hooks/ima.sh
chmod +x /etc/initramfs-tools/scripts/local-top/ima.sh

grub命令行中加入ima:修改/etc/default/grub

GRUB_CMDLINE_LINUX="ima"

重新生成grub

update-grub2

生成新的initramfs

update-initramfs -k $(uname -r) -u

重启后发现IMA的ML(/sys/kernel/security/ima/ascii_runtime_measurements)里已经没有了诸如/tmp、/var/cache等等文件的度量信息,测试完成

lwyeluo
关注
专栏目录
Integrity Measurement Architecture丨security/ima/policy
qq_40795955的博客
05-13 603
from: Documentation/ABI/testing/ima_policy If there is infringement, contact me to delete The Trusted Computing Group(TCG) runtime Integrity Measurement Architecture(IMA) maintains a list of hash values of executables and other sensitive system files
linux验证模块,完整性测量架构(IMA)和Linux扩展验证模块(EVM)(Integrity Measurement Architecture(IMA) & Linux Extended Ver...
weixin_29156401的博客
05-13 1504
I am trying to activate IMA appraisal & EVM modules.After compiling linux kernel 3.10.2 on my bt5R3 and setting kernel boot option in a first time like this:GRUB_CMDLINE_LINUX="rootflags=i_version...
IMA源码分析——度量事件记录与显示
lwyeluo的专栏
12-23 5785
IMA(Integrity Measurement Architecture)是内核中一个用来度量所有二进制加载、模块加载、动态链接库加载的模块,以用来记录平台的完整性证据本文对IMA度量事件的记录与显示部分进行源码分析,本文环境为ubuntu14.04.4,利用apt-get install linux-source后编译进入的内核版本为:root@vtpm:/sys/kernel/securit
IMA/EVM完整性检测代码分析
最新发布
inquisiter
06-01 2948
IMA hook机制中,需要定义一系列回调函数,包括measure、appraise、policy、inode_free和post_parse等函数。measure函数用于在文件读取之前计算文件的哈希值;appraise函数用于评估文件完整性;policy函数用于读取并更新IMA策略;inode_free函数用于在删除文件时更新操作系统的IMA状态信息;post_parse函数用于在解析之后更新文件系统缓存和错误日志。int ret;
通过TSS软件栈使用TPM——获取并改变TPM寄存器
BJUT_bluecat的博客
11-14 778
https://www.cnblogs.com/summer2017/p/7719088.html 实验使用TPM_Emulator代替TPM硬件,原理是一样的。(学习网站:http://blog.csdn.net/buaa_shang/article/details/26157253) 1.登录系统后通过命令启动TPM模拟器: sudo modprobe tpmd_dev sudo tp...
Anolis商密OS最佳实践之IMA商密化 | 龙蜥SIG
weixin_60347558的博客
10-09 1299
商密软件栈SIG :基于 Anolis OS,在整个系统软件层面(包括硬件,固件,bootloader,内核以及 OS)实现以国密算法为主的全栈国密操作系统,结束一直以来国密算法生态碎片化的状况,在技术方面打造社区和生态,在资质合规方面致力于为行业提供基于国密的信息安全标准。作者:李艺林(伯纪),商密软件栈SIG核心成员。欢迎更多开发者加入商密软件栈SIG:网址:http...
IMA的简单理解
jason的笔记
05-18 3806
IMA的全称是The Integrity Measurement Architecture。他的作用是检测一个文件是否被修改,包括本地和远程修改.其原理是比较文件的hash值是否相等,这个hash值是被保存到文件系统的 extended attribute中.与之相似的的机制是selinux作为IMA的一种补充. IMA 子系统引入了一些hooks来创建和手机被打开准备读写的文件的hash.IMA机制在2.6.30的时候就被引入到linux kernel中. IMA的作用是手机文件的hast并将其放到用户.
minio权限之IAM policy配置及用户赋权
shenyunsese的专栏
07-18 1万+
通常我们在使用minio的时候,需要添加用户,并且给用户授予相应桶的权限。本地主要介绍单独给桶设置policy的相关权限(读写,只读,只写),同时给用户赋予相应的Policy。最终达到给用户赋予某个桶独立的读写、只读、只写权限。...
完整性度量架构(IMA)介绍与分析
热门推荐
Casbin开源社区
05-27 1万+
前言: 2004年,IBM在13th USENIXSecurity Symposium上发表文章《Design and Implementation of a TCG-based Integrity MeasurementArchitecture》,第一次提出了IMA架构。该架构通过在内核中进行patch,实现当应用程序运行、动态链接库加载、内核模块加载时,将用到的代码和关键数据(如配置文件和结构化数据)做一次度量,将度量结果扩展到PCR10,并创建与维护一个度量列表ML。当挑战者发起挑战时,将度量列表与T
LSM_module:使用 LSM 和 IMA 的 Linux 安全模块
07-17
3. 安全策略定义:这部分可能定义了哪些文件或进程需要进行IMA校验,以及不符合校验时应采取的动作。 4. 配置和安装脚本:为了使模块能够在系统中生效,可能需要一些配置文件和脚本来加载和启用它。 学习和理解这些...
IMA官方文档
12-05
Linux内核的完整性度量框架官方文档,在IMA能够对应用程序运行时加载的模块、动态链接库及程序本身进行度量,以及TPM能够实现可信启动(将平台上电到操作系统启动进行度量并写入度量日志)的条件下,挑战者由远程挑战平台是否可信的过程称为远程证实。TCG对远程证实提供两种方案,一种借助隐私签证机构
ima_policy.rar_default measure_linux ima
09-20
ima_policy.rar 文件主要关注 Linux 操作系统中的 Integrity Measurement Architecture (IMA) 和默认度量策略的初始化。IMA 是一种内核安全特性,它提供了一种机制,用于验证操作系统启动时加载的二进制文件(如内核...
Integrity Measurement Architecture (IMA)-开源
05-29
1. **ima-initramfs**: 用于在初始化ramdisk中设置IMA策略,确保在系统启动的早期阶段就进行完整性检查。 2. **ima-hashsum**: 用于计算文件的哈希值,这些值可以用于更新IMA日志。 3. **ima-measure**: 用于测量...
ima.rar_integrity
09-21
3. **IMA策略文件**:定义了哪些文件需要进行完整性检查,以及如何处理不匹配的哈希值。 **IMA的优势** 1. **增强安全性**:通过验证软件的完整性,IMA能有效防止恶意代码的注入和运行,增强了系统的整体安全性。 ...
IMA默认测量策略规则初始化指南
资源摘要信息:"IMA策略配置文件IMA(Integrity Measurement Architecture)是Linux内核中的一部分,用于验证系统文件和进程的完整性。默认测量策略规则(default measure policy rules)是IMA的一种机制,用于定义...
麒麟安装增强功能失败(未解决):Could not downgrade policy file /etc/selinux/targeted/policy/policy.29
柳鲲鹏
10-27 2003
详细错误: VirtualBox Guest Additions: Building the VirtualBox Guest Additions kernel modules. This may take a while. VirtualBox Guest Additions: To build modules for other installed kernels, run VirtualBox Guest Additions: /sbin/rcvboxadd quicksetup <
Linux 完整性子系统及可信计算基础
weixin_54750412的博客
02-19 1917
**【摘要】**可信计算目前在主机主动安全防护中的作用越来越重要,但是具体落地上有不同的实现方式和取舍。本文介绍了可信计算的基本组成部分,结合系统安全目标、威胁方式以及Linux IMA完整性子系统,简述了可信在G银行第一阶段的落地实施方案。 转自@TWT社区,作者:Copper 前言 可信计算目前在主机主动安全防护中的作用越来越重要,但是具体落地上有不同的实现方式和取舍。本文介绍了可信计算的基本组成部分,结合系统安全目标、威胁方式以及Linux IMA完整性子系统,简述了可信在G银行第一阶段的落地实施方.
Integrity Measurement Architecture
lionzl的专栏
03-14 2557
Integrity Measurement Architecture The Linux IMA subsystem is responsible for calculating the hashes of files and programs before they are loaded, and supports reporting on the hashes and v
linux内核ima_main,linux内核结构详解
weixin_33488923的博客
05-01 697
Linux内核主要由五个子系统组成:进程调度,内存管理,虚拟文件系统,网络接口,进程间通信。1.进程调度(SCHED):控制多个进程对CPU的访问,使得多个进程能在CPU中微观串行运行,看起来却像是并行运行。驱动程序编程中,若没有获得资源则进入休眠,直到被唤醒。2.内存管理(MM)允许多个进程安全的共享主内存区域。Linux的内存管理支持虚拟内存(为每个进程进行虚拟内存到物理内存的转换)即在计算机...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值