Ima-evm-utils — различия между версиями
Материал из Wiki AlterOS
Строка 10: | Строка 10: | ||
Extended Verification Module (EVM) : Расширенный модуль проверки | Extended Verification Module (EVM) : Расширенный модуль проверки | ||
− | Настройка IMA и EVM позволяет подписывать файлы при помощи | + | Настройка IMA и EVM позволяет подписывать файлы при помощи цифровой подписи и повышать безопасность операционной системы. |
+ | '''Внимание! все действия выполняются от привилегированной учетной записи root''' | ||
#Установка необходимых пакетов: | #Установка необходимых пакетов: | ||
− | + | yum install ima-evm-utils keyutils openssl | |
− | + | #Внести изменения в файл /etc/fstab выставив параметр iversion на всех записях в файле /etc/fstab относящихся к местам, где могут быть исполняемые файлы: | |
− | |||
− | Внести изменения в файл /etc/fstab выставив параметр iversion на всех записях в файле /etc/fstab относящихся к местам, где могут быть исполняемые файлы: | ||
vi /etc/fstab | vi /etc/fstab | ||
Строка 29: | Строка 28: | ||
UUID=48c0bccf-fa73-4a6b-8476-e89737b2fd4d /boot ext4 defaults 1 2 | UUID=48c0bccf-fa73-4a6b-8476-e89737b2fd4d /boot ext4 defaults 1 2 | ||
/dev/mapper/alteros-swap swap swap defaults 0 0 | /dev/mapper/alteros-swap swap swap defaults 0 0 | ||
− | + | #Выполнить команду для инициализации системы IMA в режиме fix | |
− | + | grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix ima_appraise_tcb evm=fix ima=on ima_policy=appraise_tcb" | |
− | Выполнить | + | #Выполнить команду перезагрузки |
− | + | reboot | |
− | |||
− | |||
− | |||
− | |||
− | # | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
#Запустим перемаркировку файлов файловой системы выполнением команды | #Запустим перемаркировку файлов файловой системы выполнением команды | ||
find / -fstype ext4 -type f -uid 0 -exec head -n 1 '{}' >/dev/null \; | find / -fstype ext4 -type f -uid 0 -exec head -n 1 '{}' >/dev/null \; | ||
− | |||
''процесс занимает достаточно долгое время'' | ''процесс занимает достаточно долгое время'' | ||
− | После окончания процесса проверим выборочно файлы из каталога /usr/bin | + | #После окончания процесса проверим выборочно файлы из каталога /usr/bin |
getfattr -m - -d /usr/bin/bluetoothctl | getfattr -m - -d /usr/bin/bluetoothctl | ||
− | |||
''Наличие строки security.ima=... свидетельствует о том, что файл маркирован'' | ''Наличие строки security.ima=... свидетельствует о том, что файл маркирован'' | ||
# file: usr/bin/bluetoothctl | # file: usr/bin/bluetoothctl | ||
security.ima=0sAQg5hQ2yAogXYsrxHmgDk8VxHi3D | security.ima=0sAQg5hQ2yAogXYsrxHmgDk8VxHi3D | ||
security.selinux="system_u:object_r:bin_t:s0" | security.selinux="system_u:object_r:bin_t:s0" | ||
− | + | #После проведения маркировки переключить режим работы системы при помощи команды, либо в меню загрузки ОС нажав клавишу 'e' и изменив опции загрузки на ima_appraise=enforce ima_appraise_tcb evm=enforce | |
− | После проведения маркировки переключить режим работы системы при помощи команды, либо в меню загрузки ОС нажав клавишу 'e' и изменив опции загрузки на ima_appraise=enforce ima_appraise_tcb evm=enforce | + | grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=enforce ima_appraise_tcb evm=enforce ima=on ima_policy=appraise_tcb" |
− | + | #Выполнить команду перезагрузки | |
− | + | reboot | |
− | + | #Для проверки работы можно удалить атрибуты IMA у файла /usr/bin/echo | |
− | |||
− | |||
− | |||
− | Для проверки работы можно удалить атрибуты IMA у файла /usr/bin/echo | ||
setfattr -x security.ima /usr/bin/echo | setfattr -x security.ima /usr/bin/echo | ||
− | Запустив команду: | + | #Запустив команду: |
/usr/bin/echo test | /usr/bin/echo test | ||
− | получим ответ: | + | |
+ | получим ответ: | ||
+ | |||
[root@localhost ~]# /usr/bin/echo | [root@localhost ~]# /usr/bin/echo | ||
-bash: /usr/bin/echo: Отказано в доступе | -bash: /usr/bin/echo: Отказано в доступе |
Версия 10:39, 24 ноября 2020
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ С ПОМОЩЬЮ ПОДСИСТЕМЫ ЦЕЛОСТНОСТИ ЯДРА
!Данный материал в стадии разработки!
Integrity Measurement Architecture (IMA) : Архитектура проверки целостности
Extended Verification Module (EVM) : Расширенный модуль проверки
Настройка IMA и EVM позволяет подписывать файлы при помощи цифровой подписи и повышать безопасность операционной системы.
Внимание! все действия выполняются от привилегированной учетной записи root
- Установка необходимых пакетов:
yum install ima-evm-utils keyutils openssl
- Внести изменения в файл /etc/fstab выставив параметр iversion на всех записях в файле /etc/fstab относящихся к местам, где могут быть исполняемые файлы:
vi /etc/fstab
# # /etc/fstab # Created by anaconda on Wed Nov 11 15:19:25 2020 # # Accessible filesystems, by reference, are maintained under '/dev/disk' # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info # /dev/mapper/alteros-root / ext4 defaults,iversion 1 1 UUID=48c0bccf-fa73-4a6b-8476-e89737b2fd4d /boot ext4 defaults 1 2 /dev/mapper/alteros-swap swap swap defaults 0 0
- Выполнить команду для инициализации системы IMA в режиме fix
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=fix ima_appraise_tcb evm=fix ima=on ima_policy=appraise_tcb"
- Выполнить команду перезагрузки
reboot
- Запустим перемаркировку файлов файловой системы выполнением команды
find / -fstype ext4 -type f -uid 0 -exec head -n 1 '{}' >/dev/null \; процесс занимает достаточно долгое время
- После окончания процесса проверим выборочно файлы из каталога /usr/bin
getfattr -m - -d /usr/bin/bluetoothctl
Наличие строки security.ima=... свидетельствует о том, что файл маркирован
# file: usr/bin/bluetoothctl security.ima=0sAQg5hQ2yAogXYsrxHmgDk8VxHi3D security.selinux="system_u:object_r:bin_t:s0"
- После проведения маркировки переключить режим работы системы при помощи команды, либо в меню загрузки ОС нажав клавишу 'e' и изменив опции загрузки на ima_appraise=enforce ima_appraise_tcb evm=enforce
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_appraise=enforce ima_appraise_tcb evm=enforce ima=on ima_policy=appraise_tcb"
- Выполнить команду перезагрузки
reboot
- Для проверки работы можно удалить атрибуты IMA у файла /usr/bin/echo
setfattr -x security.ima /usr/bin/echo
- Запустив команду:
/usr/bin/echo test получим ответ: [root@localhost ~]# /usr/bin/echo -bash: /usr/bin/echo: Отказано в доступе