使用Linux IMA重新測量文件

我正嘗試在本指南http://linux-ima.sourceforge.net/linux-ima-content.html-20110907的幫助下在RHEL中設置Linux IMA。我想設置系統，以便在文件發生變化時重新測量我選擇的敏感文件（我卡在有關重新測量文件的部分）。我/etc/fstab看起來是這樣的：使用Linux IMA重新測量文件

UUID = c8dbe0a9-8c0c-4ABA-adff-bcf2dd4640da/EXT4，iversion默認11

UUID = b1762b74-d517-4293-8b49-cdc06b94d78c/EXT3開機默認1 2

UUID = 8c6b8003-7176-4cf4-AE23-a124f8768c36 swap交換默認0 0

當我檢查測量列表，在/sys/kernel/security/ima/ascii_runtime_measurements我只看到如下一個條目：

10 3f0d6c1e772444096d975aba704a10e4820eabab IMA 7b739f0b35c61d68bd664d352b6631c366aee34f boot_aggregate

我沒有觀察到任何其他測量顯示出來，即使我改變了一些文件在/ etc /或執行其它操作。有什麼想法可能會出錯？

來源

2016-12-02 DaTaBomB

您應該爲內核提供ima策略。

「ima_tcb」是默認策略，可以指定爲內核的命令行參數（https://sourceforge.net/p/linux-ima/wiki/Home/#controlling-ima）。

如果您需要指定自己的策略，則應將其放入<securityfs>/ima/policy（https://sourceforge.net/p/linux-ima/wiki/Home/#defining-an-lsm-specific-policy）。

來源

2016-12-05 13:49:15 andrey

謝謝，這可以測量其他文件並在'ascii_runtime_measurements'中產生其他條目。但是，如果文件以任何方式改變，我仍然沒有看到文件被重新測量。 – DaTaBomB

IMA根據i_version檢測文件更改，因此必須使用i_version支持裝載文件系統。 http://linux-ima.sourceforge.net/linux-ima-content.html-20110907#IMA_re-measure – andrey

使用Linux IMA重新測量文件

回答

相關問題