IMA的简单理解

最新推荐文章于 2024-04-23 22:52:08 发布
最新推荐文章于 2024-04-23 22:52:08 发布
阅读量3.5k 收藏 3
点赞数 1
分类专栏: iso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiantao2012/article/details/116977561
版权 
IMA的全称是The Integrity Measurement Architecture。他的作用是检测一个文件是否被修改,包括本地和远程修改.其原理是比较文件的hash值是否相等,这个hash值是被保存到文件系统的 extended attribute中.与之相似的的机制是selinux作为IMA的一种补充.
IMA 子系统引入了一些hooks来创建和手机被打开准备读写的文件的hash.IMA机制在2.6.30的时候就被引入到linux kernel中.
IMA的作用是手机文件的hast并将其放到用户态app无法修改的kernel memory中,并且孕育本地或者远程来检测这个值.EVM的全称是 Extended Verification Module,其作用是检测试图修改security extended attributes。
可以再kernel命令行加"ima=on ima_policy=<policy>"来使能IMA和玄策ima的policy,其中policy可以选择下面三种值
tcb - measures all executables run, all mmap'd files for execution (such as shared libraries), all kernel modules loaded, and all firmware loaded. Additionally, all files read by root are measured as well.

appraise_tcb - appraises all files owned by root.

secure_boot - appraises all loaded modules, firmware, kexec'd kernel, and IMA policies. It also requires them to have an IMA signature as well. This is normally used with the CONFIG_INTEGRITY_TRUSTED_KEYRING option in the kernel in "secure boot" scenario, with the public key obtained from the OEM in firmware or via the MOK (Machine Owner Key) in shim.

IMA除了在文件系统的 extended attribute保存hash值外,还在内存中维护了一个runtime measurement list。其路径是/sys/kernel/security/ima/ascii_runtime_measurements

举例如下:
[root@kvm-05-guest13 ~]# head -5 /sys/kernel/security/ima/ascii_runtime_measurements
10 1d8d532d463c9f8c205d0df7787669a85f93e260 ima-ng sha1:ddee6004dc3bd4ee300406cd93181c5a2187b59b boot_aggregate
10 bfe074db49e639b3d65aff5d29714c0ada7584ae ima-ng sha1:b23cdfea2ad736ea9f2591270fe644d8052cc86f /usr/lib/systemd/systemd
10 63c80ba8646fb4d8a48e0b6baf38650fef1b3ffb ima-ng sha1:8c8d12052c4684e696da0bee28d7a2f3c4f408e4 /usr/lib64/ld-2.28.so
10 2a07e7f032ba91832d267e6c58437cec1dccf35d ima-ng sha1:381429f65d66187f866361e8dc19e96808f9424f /usr/lib/systemd/libsystemd-shared-239.so
10 a4c7964b6581dcf3aa5495dc94a17bb7ee82554c ima-ng sha1:1abcf3c99faad55856d49e3ds210abec56d95e4a51 /etc/ld.so.cache

前面介绍了如果产生hash,如果要让系统自动比较hash值是否正确,则第一次启动时需要在命令行添加 ima_appraise_tcb and ima_appraise='fix'
例如下面这个就已经包含的ima
[root@kvm-05-guest13 ~]# getfattr -m - -d /sbin/init
getfattr: Removing leading '/' from absolute path names
# file: sbin/init
security.ima=0sAbI83+oq1zbqnyWRJw/mRNgFLMhv
security.selinux="system_u:object_r:init_exec_t:s0"
第二次启动时在kernel的命令加上ima_appraise_tcp and ima_appraise=enforce

这个时候如果hash值不对,会有log打印出来

 

tiantao2012
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IMA官方文档
12-05
Linux内核的完整性度量框架官方文档,在IMA能够对应用程序运行时加载的模块、动态链接库及程序本身进行度量,以及TPM能够实现可信启动(将平台上电到操作系统启动进行度量并写入度量日志)的条件下,挑战者由远程挑战平台是否可信的过程称为远程证实。TCG对远程证实提供两种方案,一种借助隐私签证机构
论文阅读(二)
lwyeluo的专栏
01-05 1698
所有论文笔记请戳:http://blog.csdn.net/lwyeluo/article/details/54017718  Privilege-Based Remote Attestation: Towards Integrity Assurance for Lightweight Clients 摘要 远程证实是用来确保远程用户证实被证实平台的完整性。二进制证实方式需要挑战者获
Linux系统安全:从面临的攻击和风险到安全加固、安全维护策略(文末有福利)
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-23 2180
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAM是Linux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限。
IMA源码分析——度量事件记录与显示
lwyeluo的专栏
12-23 5366
IMAIntegrity Measurement Architecture)是内核中一个用来度量所有二进制加载、模块加载、动态链接库加载的模块,以用来记录平台的完整性证据本文对IMA度量事件的记录与显示部分进行源码分析,本文环境为ubuntu14.04.4,利用apt-get install linux-source后编译进入的内核版本为:root@vtpm:/sys/kernel/securit
linux内核ima_main,linux内核结构详解
weixin_33488923的博客
05-01 624
Linux内核主要由五个子系统组成:进程调度,内存管理,虚拟文件系统,网络接口,进程间通信。1.进程调度(SCHED):控制多个进程对CPU的访问,使得多个进程能在CPU中微观串行运行,看起来却像是并行运行。驱动程序编程中,若没有获得资源则进入休眠,直到被唤醒。2.内存管理(MM)允许多个进程安全的共享主内存区域。Linux的内存管理支持虚拟内存(为每个进程进行虚拟内存到物理内存的转换)即在计算机...
matlab中imag什么意思,Matlab基本函数-imag函数
weixin_42356349的博客
03-17 2547
1、imag函数:求复数的虚部部分2、用法说明Y=imag(X) 函数计算复数X的虚数部分Y。输出结果Y与输入X的维数相同,返回值为复数数组X中的每个复数的虚部3、举例说明>> x = [1.2+2.3i 4+5.3i 34-123.456i 78-123456.78967i]x =1.0e+05 *0.0000 + 0.0000i 0.0000 + 0.0001i 0.000...
IMA/EVM完整性检测代码分析
inquisiter
06-01 2325
IMA hook机制中,需要定义一系列回调函数,包括measure、appraise、policy、inode_free和post_parse等函数。measure函数用于在文件读取之前计算文件的哈希值;appraise函数用于评估文件完整性;policy函数用于读取并更新IMA策略;inode_free函数用于在删除文件时更新操作系统的IMA状态信息;post_parse函数用于在解析之后更新文件系统缓存和错误日志。int ret;
Linux内核安全模块
x3599573的博客
03-31 966
LSM(inux Security Module)—— 体现为一组安全相关的函数目的:对用户态进程进行强制访问控制目的:防止数据被篡改IMA:完整性度量体系架构 EVM:扩展验证模块可信计算架构:​应用:PTS(Platform Trust Services)​库:TSS(Trusted Software Stack)​内核:IMA、EVM、TPM驱动​启动:GRUB-IMA TBOOT​硬件:TPMTPM的运用:管理密钥、执行加解密运算、数字签名、安全存储数据。
IMA_ADPCM.zip_IMA ADPCM_IMA_ADPCM_adpcm_adpcm ima_ima
09-20
通过理解和实现IMA ADPCM,我们可以为各种应用场景提供高效的音频压缩解决方案,例如在游戏开发中减小游戏文件大小,或者在网络传输中节省带宽资源。此外,由于IMA ADPCM的普及性和兼容性,它也常常作为学习音频编码...
基于matlab与IMA免疫算法解决TSP问题
04-29
在解决TSP问题时,MATLAB提供了一个理想的平台,其丰富的函数库和便捷的编程环境使得算法实现更为简单IMA免疫算法是受生物免疫系统启发的一种全局优化方法。它模拟了抗体与抗原的相互作用、免疫记忆、克隆选择等...
iCCI iMA - MetaTrader 5EA.zip
09-10
文件中的"iCCI iMA.mq5"是用MQL5语言编写的源代码,用户可以通过查看和编辑代码来理解其工作原理,或者调整参数以适应不同的市场环境和个人交易策略。此外,为了在MT5平台上运行EA,我们需要将其导入到平台中,然后...
LSM_module:使用 LSM 和 IMA 的 Linux 安全模块
07-17
LSM_module 使用 LSM 和 IMA 的 Linux 安全模块。 通过在 IMA(完整性测量架构)的哈希校验和的帮助下将用户(进程)列入白名单,为对系统至关重要的文件提供额外的安全性。
Intersection 2 iMA - MetaTrader 5EA.zip
09-11
本文将深入解析名为"Intersection 2 iMA - MetaTrader 5 EA"的交易策略,这是一个基于移动平均线交叉的简单系统,适用于MetaTrader 5(MT5)交易平台。 首先,让我们理解移动平均线(Moving Average,MA)。移动...
chaotic-image-encryption-master.zip_Image Encryption_chaotic ima
07-15
这些映射可以通过迭代一个简单的数学公式产生看似随机但实际上是确定性的序列。MATLAB中的"chaos_image"可能是一个函数,用于生成混沌序列。 其次,描述中提到的"chaos image"可能是经过混沌系统处理后的图像,它将...
ima-evm-util工具编译
qq_37306332的博客
04-26 534
1.下载地址:https://sourceforge.net/p/linux-ima/ima-evm-utils/ci/master/tree/ 2.解压 3.编译: 1. 执行aclocal,产生aclocal.m4文件 aclocal 2. 执行autoconf,生成configure文件 autoconf 3. 执行automake命令,产生Makefile.in automake --add-missing 4. 执行configure命令,生成Makefile文件 ./configure
linux验证模块,完整性测量架构(IMA)和Linux扩展验证模块(EVM)(Integrity Measurement Architecture(IMA) & Linux Extended Ver...
weixin_29156401的博客
05-13 1304
I am trying to activate IMA appraisal & EVM modules.After compiling linux kernel 3.10.2 on my bt5R3 and setting kernel boot option in a first time like this:GRUB_CMDLINE_LINUX="rootflags=i_version...
扩展Linux完整性度量IMA/EVM到Android
laviolette的专栏
05-09 7844
完整性度量 IMA EVM
IMA简单介绍
雨翔的专栏
11-03 4125
本文的内容来自于http://domino.research.ibm.com/comm/research_people.nsf/pages/sailer.ima.html what is ima :       IMA是一个远程认证机构,它可以使远程对方相信系统正在运行程序是安全可信的。      另一种解释:IMA是一种软件体系结构,并且是Linux上的一个实现,他可以通过使用
IMA典型配置指导资料
09-14
IMA典型配置指导资料是一份详细介绍IMA(Intelligent Management Assistant)典型配置的指导文件。通过该资料,用户可以了解到IMA在...期望该资料能够帮助用户更好地理解和应用IMA系统,实现系统的智能化和高效化运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值