signature=ab09e433311bc487fc2ccf7433b42269,EVM signature mismatch return-EKEYREJECTED|Linux 中国◆开源社区...

最新推荐文章于 2024-03-31 21:32:54 发布
最新推荐文章于 2024-03-31 21:32:54 发布
阅读量205 收藏
点赞数
文章标签: signature=ab09e433311bc487fc2ccf7433b42269
博主在CentOS7系统上启用了IMA和EVM安全功能,但在对可执行文件进行校验时遇到权限拒绝问题。在内核执行RSA_verify函数时返回-EKEYREJECTED错误码。已尝试生成和导入master key、encrypted key,但问题仍未解决。博客详细记录了从生成EVM加密密钥到初始化IMA/EVM的步骤,并求助于社区寻找解决方案。
摘要由CSDN通过智能技术生成

本帖最后由 ertou 于 2017-10-11 09:07 编辑

我采用centos 7操作系统,并且开启了ima和evm安全功能模块。配置ima策略只是对可执行文件进行校验。下面是我具体操作步骤:

[root@localhost ~]# evmctl sign --imahash a.out

[root@localhost ~]# getfattr -d -m . -e hex a.out

# file: a.out

security.evm=0x030202ab51ae3a00800672bc78b356025b4a44762180cfcdbd8ab74c2410c2b862ad245c4787f61043091a7998bc2fcf8c2448cde522a55e316010b7e59ccf29f366191737aa0623af991c859c591634b6dc1e0fdccb5be66c0280fc2f56225dee728fc8ed37520ff44f1e47f52fa30ab2303fcf6b34f7a4d3f05ab2cddc729bd5aee1d8c9cf0c1442

security.ima=0x01f2a729d7d51cc3487b3f2756847801b635333133

[root@localhost ~]# ./a.out

bash: ./a.out: Permission denied (这就是在内核中进行evm签名比对时出现了错误)

在内核中执行到RSA_verify()这个函数时,返回了 -EKEYREJECTED错误码。我只定位到问题在这里产生的,不断尝试了生成masterkey and encrypted key的方法,还是没有找到解决方法。

In function RSA_verify :

if (memcmp(H, EM + T_offset + asn1_size, hash_size) != 0) {

kleave(" = -EKEYREJECTED [EM[T] hash mismatch]");

return -EKEYREJECTED;

下面是我的系统配置:

1 Generate EVM encrypted keys

下面这几条命令必须在root账户登陆才可以操作。

keyctl add user kmk-user "`dd if=/dev/urandom bs=1 count=32 2>/dev/null`" @u

keyctl pipe `keyctl search @u user kmk-user` > /etc/keys/kmk-user.blob

keyctl add encrypted evm-key "new user:kmk-user 32" @u

keyctl pipe `keyctl search @u encrypted evm-key` >/etc/keys/evm-user.blob

2  Generate signing and verification keys

执行ima-evm-utils-v1.0源代码中的ima-genkey-self.sh脚本。

3 Initialize IMA/EVM at early boot

mount -n -t securityfs securityfs /sys/kernel/security

IMA_POLICY=/sys/kernel/security/ima/policy

LSM_POLICY=/etc/sysconfig/ima-policy

grep -v "^#" $LSM_POLICY >$IMA_POLICY

cat /etc/keys/kmk-user.blob | keyctl padd user kmk-user @u

keyctl add encrypted evm-key "load `cat /etc/keys/evm-user.blob`" @u

# import IMA public key

ima_id=`keyctl newring _ima @u`

evmctl  import /etc/keys/x509_evm.der $ima_id

# import EVM public key

evm_id=`keyctl newring _evm @u`

evmctl  import /etc/keys/x509_evm.der $evm_id

echo "1" > /sys/kernel/security/evm

大家帮帮忙,为什么我用的evm签名的key到内核里就验证不通过了,谁有好方法定位问题,再这里谢谢了

weixin_39640883
关注
linux验证模块,完整性测量架构(IMA)和Linux扩展验证模块(EVM)(Integrity Measurement Architecture(IMA) & Linux Extended Ver...
weixin_29156401的博客
05-13 1522
I am trying to activate IMA appraisal & EVM modules.After compiling linux kernel 3.10.2 on my bt5R3 and setting kernel boot option in a first time like this:GRUB_CMDLINE_LINUX="rootflags=i_version...
扩展Linux完整性度量IMA/EVM到Android
laviolette的专栏
05-09 7989
完整性度量 IMA EVM
linux内核模块签名
热门推荐
Always look out for number one.
01-24 1万+
linux内核模块签名 内核在模块模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。 签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。 公钥生成 内核编译时可以指定一系列的公钥。x509.genkey文件用来生成X509密钥。如果没有该文件,系统会自动提供一个默认的配
SecurityFS介绍
WenCoo的博客
04-25 1143
目录 文章目录目录什么是SecurityFS参考: 什么是SecurityFS SecurityFS是用于安全内核模块的内存中的虚拟文件系统。内核安全模块将它们的策略和其他数据放置在这里。用户空间将SecurityFS视为SysFS的一部分。SecurityFS挂载在/sys/kernel/security/上。一些安全模块在这里读写用于配置安全模块的文件。Linux Security Modules (LSM)将手动挂载SecurityFS,因为LSM在这个伪文件系统上读写数据,除非该文件系统已经挂载。
Anolis商密OS最佳实践之IMA商密化 | 龙蜥SIG
weixin_60347558的博客
10-09 1312
商密软件栈SIG :基于 Anolis OS,在整个系统软件层面(包括硬件,固件,bootloader,内核以及 OS)实现以国密算法为主的全栈国密操作系统,结束一直以来国密算法生态碎片化的状况,在技术方面打造社区和生态,在资质合规方面致力于为行业提供基于国密的信息安全标准。作者:李艺林(伯纪),商密软件栈SIG核心成员。欢迎更多开发者加入商密软件栈SIG:网址:http...
Integrity Measurement Architecture
lionzl的专栏
03-14 2568
Integrity Measurement Architecture The Linux IMA subsystem is responsible for calculating the hashes of files and programs before they are loaded, and supports reporting on the hashes and v
IMA/EVM完整性检测代码分析
inquisiter
06-01 3015
IMA hook机制中,需要定义一系列回调函数,包括measure、appraise、policy、inode_free和post_parse等函数。measure函数用于在文件读取之前计算文件的哈希值;appraise函数用于评估文件完整性;policy函数用于读取并更新IMA策略;inode_free函数用于在删除文件时更新操作系统的IMA状态信息;post_parse函数用于在解析之后更新文件系统缓存和错误日志。int ret;
linux中出错处理
Legend(谭海燕)的专栏
03-03 4094
linux中,在支持多线程的环境中,通常每个线程都有属于自己的errno变量,是用来表示特定错误的常量。 以下是中定义的所有出错errno常量 #define EPERM            1      /* Operation not permitted */#define ENOENT           2      /* No such file or director
jdk-17_linux-x64_bin.tar.gz
10-20
首先,`jdk-17_linux-x64_bin.tar.gz`是一个针对Linux 64位系统的JDK17二进制压缩包。在Linux环境下,我们需要先下载这个压缩包,然后使用`tar`命令来解压。例如: ```bash wget ...
Understand-3.1.670-Linux-64bit.tar.gz
04-02
证书CODE(32/64 都可用) 09E58CD1FB79 之前用Windows系统,一直用source insight查看代码非常方便,但是年前换到mac下面,虽说很多东西都方便了,但是却没有了静态代码分析工具,很幸运,前段时间找到一款比source ...
splunk-8.1.0-f57c09e87251-linux-2.6-amd64.deb
10-30
正规安装包,有需要的自行下载,请认准!非破解! plunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 使用 Splunking 处理计算机数据,可让您在几...
w09e-cn5-02_cx-supervisior.pdf
最新发布
08-29
w09e-cn5-02_cx-supervisior.pdf
nosql09e.mp4
02-13
nosql09e.mp4
Linux内核安全模块学习-内核密钥管理子系统
肥叔菌的博客
09-19 6887
本篇介绍密钥管理子系统,只涉及内核如何管理密钥,不涉及内核加密算法的实现。密钥本质上是一段数据,内核对它的管理有些类似对文件的管理。但是因为Linux内核不愿意让密钥像文件那样“静态”存储在磁盘或者其他永久性存储介质上,所以内核对密钥的管理又有些像对进程的管理,有创建、实例化、删除等操作。 密钥 密钥在内核代码中称为key,因为key是由用户态进程创建,由内核管理,其实体存储在内核申请的内存中,所以密钥管理需要实施配额管理。密钥有对称密钥和非对称密钥两大类,每类密钥又有很多种。密钥种类不同,payload中
Linux内核安全模块
x3599573的博客
03-31 1395
LSM(inux Security Module)—— 体现为一组安全相关的函数目的:对用户态进程进行强制访问控制目的:防止数据被篡改IMA:完整性度量体系架构 EVM:扩展验证模块可信计算架构:​应用:PTS(Platform Trust Services)​库:TSS(Trusted Software Stack)​内核:IMAEVM、TPM驱动​启动:GRUB-IMA TBOOT​硬件:TPMTPM的运用:管理密钥、执行加解密运算、数字签名、安全存储数据。
IMA策略修改
lwyeluo的专栏
08-16 4519
默认的IMA策略在所有内核源码路径Documentation/ABI/testing/ima_policy下有说明# PROC_SUPER_MAGIC dont_measure fsmagic=0x9fa0 dont_appraise fsmagic=0x9fa0 # SYSFS_MAGIC dont_measure fsmagic=0x62656572 dont_appraise fsmagic=
linux的错误码error
v1003499773的博客
09-08 6978
当linuc C api函数发生异常时,一般会将errno变量(需include errno.h)赋一个整数值,不同的值表示不同的含义,可以通过查看该值推测出错的原因。比较麻烦的是每次都要去linux源代码里面查找错误代码的含义,现在把它贴出来,以后需要查时就来这里看了。剩下还有一些更大的错误号是留给内核级别的,如系统调用等,用户程序一般是看不见的这些号的,Ubuntu9.10中/usr/src/linux-headers-2.6.31-21-generic/include/linux/errno.h。
linux秘钥保留服务笔记
m00ndown
02-03 1627
一个Key有如下属性: 序列号,Key类型,描述(又叫名字),荷载(又叫数据),访问权限,过期时间,引用数量。 Key类型: Key类型的name字段,name以小数点开头的Key类型是保留的Key类型。 内核提供了几个类型,主要有如下几种: keyring,keyring和key的关系类似目录与文件的关系。 user,荷载上限为32767, logon,类似user,但是不提供用户态的读方法。...
GNU C库函数参考手册(2)
蓝色妖姬
11-15 497
逍遥飞狐多媒体作坊 译 上一页下一页 错误报告 许多GNU C库中的函数都监测和报告错误的情况,而且有时候你的程序需要检查它们以得到错误的情形。比如说:你打开了一个输入文件,你必须检查这个文件是否正确的打开了,而且在你调用一个库函数出错的时候打印出错信息或采取其他的措施。 这一章描述错误报告功能是怎么工作的。要使用这个功能的话,你的程序必须包含头文件“errno.h”。 错...
Original error was: libopenblasp-r0-09e95953.3.13.so: cannot open shared object file: No such file or directory
07-27
这个错误通常是由于缺少所需的共享库文件引起的。可能是由于系统中缺少了 `libopenblasp-r0-09e95953.3.13.so` 文件导致的。 解决这个问题的方法可能会有所不同,具体取决于你的操作系统和应用程序。以下是一些可能有用的步骤: 1. 确保你的系统已经安装了所需的依赖库。你可以尝试通过以下命令安装: - 在 Ubuntu 上:`sudo apt-get install libopenblas-dev` - 在 CentOS 上:`sudo yum install openblas-devel` - 在 macOS 上:`brew install openblas` 2. 如果上述步骤没有解决问题,尝试重新安装或更新你的应用程序。这可能涉及到重新构建应用程序或重新安装依赖库。 3. 如果你在使用虚拟环境,请确保你的虚拟环境中包含所需的库文件。 4. 如果你使用的是特定版本的库文件,尝试按照该版本的要求进行安装,并确保库文件路径正确。 如果问题仍然存在,请提供更多详细信息,例如你的操作系统、应用程序和相关日志信息,以便我们能够更好地帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值