使用Linux IMA重新测量文件

Question

我正尝试在本指南http://linux-ima.sourceforge.net/linux-ima-content.html-20110907的帮助下在RHEL中设置Linux IMA。我想设置系统，以便在文件发生变化时重新测量我选择的敏感文件（我卡在有关重新测量文件的部分）。我/etc/fstab看起来是这样的：

UUID = c8dbe0a9-8c0c-4ABA-adff-bcf2dd4640da/EXT4，iversion默认11

UUID = b1762b74-d517-4293-8b49-cdc06b94d78c/EXT3开机默认1 2

UUID = 8c6b8003-7176-4cf4-AE23-a124f8768c36 swap交换默认0 0

当我检查测量列表，在/sys/kernel/security/ima/ascii_runtime_measurements我只看到如下一个条目：

10 3f0d6c1e772444096d975aba704a10e4820eabab IMA 7b739f0b35c61d68bd664d352b6631c366aee34f boot_aggregate

我没有观察到任何其他测量显示出来，即使我改变了一些文件在/ etc /或执行其它操作。有什么想法可能会出错？

Answer 1

您应该为内核提供ima策略。

“ima_tcb”是默认策略，可以指定为内核的命令行参数（https://sourceforge.net/p/linux-ima/wiki/Home/#controlling-ima）。

如果您需要指定自己的策略，则应将其放入<securityfs>/ima/policy（https://sourceforge.net/p/linux-ima/wiki/Home/#defining-an-lsm-specific-policy）。