Ima-evm-utils

Материал из Wiki AlterOS
Перейти к: навигация, поиск

ПОВЫШЕНИЕ БЕЗОПАСНОСТИ С ПОМОЩЬЮ ПОДСИСТЕМЫ ЦЕЛОСТНОСТИ ЯДРА ( замкнутая программная среда )

Integrity Measurement Architecture (IMA) : Архитектура проверки целостности

Extended Verification Module (EVM) : Расширенный модуль проверки

ЗПС : Замкнутая программная среда

Настройка IMA и EVM позволяет подписывать файлы при помощи цифровой подписи и повышать безопасность операционной системы.

Внимание! все действия выполняются от привилегированной учетной записи root

Включение и настройка IMA

1. Установка необходимых пакетов:

yum install ima-evm-utils keyutils openssl

2. Внести изменения в файл /etc/fstab выставив параметр iversion на всех записях в файле /etc/fstab относящихся к местам, где могут быть исполняемые файлы:

vi /etc/fstab
#
# /etc/fstab
# Created by anaconda on Wed Nov 11 15:19:25 2020
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/alteros-root /                       ext4    defaults,iversion        1 1
UUID=48c0bccf-fa73-4a6b-8476-e89737b2fd4d /boot                   ext4    defaults        1 2
/dev/mapper/alteros-swap swap                    swap    defaults        0 0

3. Выполнить команду для инициализации системы IMA в режиме fix

grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix ima_appraise_tcb evm=fix ima=on ima_policy=appraise_tcb"

4. Выполнить команду перезагрузки

reboot

5. Запустим перемаркировку файлов файловой системы выполнением команды

find / -fstype ext4 -type f -uid 0 -exec head -n 1 '{}' >/dev/null \;
процесс занимает достаточно долгое время

После окончания процесса проверим выборочно файлы из каталога /usr/bin

getfattr -m - -d /usr/bin/bluetoothctl  

Наличие строки security.ima=... свидетельствует о том, что файл маркирован

# file: usr/bin/bluetoothctl
security.ima=0sAQg5hQ2yAogXYsrxHmgDk8VxHi3D
security.selinux="system_u:object_r:bin_t:s0"

6. После проведения маркировки переключить режим работы системы при помощи команды, либо в меню загрузки ОС нажав клавишу 'e' и изменив опции загрузки на ima_appraise=enforce ima_appraise_tcb evm=enforce

grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=enforce ima_appraise_tcb evm=enforce ima=on ima_policy=appraise_tcb"

7.Выполнить команду перезагрузки

reboot

Для проверки работы можно удалить атрибуты IMA у файла /usr/bin/echo

setfattr -x security.ima /usr/bin/echo

Запустив команду:

/usr/bin/echo test

получим ответ:

[root@localhost ~]# /usr/bin/echo
-bash: /usr/bin/echo: Отказано в доступе