22.6. Collecte de hachages de fichiers avec une architecture de mesure de l'intégrité

Dans la phase measurement, vous pouvez créer des hachages de fichiers et les stocker en tant qu'attributs étendus (xattrs) de ces fichiers. Avec les hachages de fichiers, vous pouvez générer une signature numérique basée sur RSA ou un code d'authentification de message basé sur le hachage (HMAC-SHA1) et ainsi empêcher les attaques de falsification hors ligne sur les attributs étendus.

Conditions préalables

L'IMA et l'EVM sont activés. Pour plus d'informations, voir Activation de l'architecture de mesure de l'intégrité et du module de vérification étendu.
Une clé de confiance valide ou une clé cryptée est stockée dans le trousseau de clés du noyau.
Les paquets ima-evm-utils, attr, et keyutils sont installés.

Procédure

Créer un fichier de test.
```
# echo <Test_text> > test_file
```
L'IMA et l'EVM garantissent que le fichier d'exemple test_file a des valeurs de hachage attribuées qui sont stockées en tant qu'attributs étendus.
Inspecter les attributs étendus du fichier.
```
# getfattr -m . -d test_file
# file: test_file
security.evm=0sAnDIy4VPA0HArpPO/EqiutnNyBql
security.ima=0sAQOEDeuUnWzwwKYk+n66h/vby3eD
```
L'exemple de sortie montre des attributs étendus avec les valeurs de hachage de l'IMA et de l'EVM et le contexte SELinux. EVM ajoute un attribut étendu security.evm lié aux autres attributs. À ce stade, vous pouvez utiliser l'utilitaire evmctl sur security.evm pour générer une signature numérique basée sur RSA ou un code d'authentification de message basé sur le hachage (HMAC-SHA1).

Ressources supplémentaires

Renforcement de la sécurité

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

22.6. Collecte de hachages de fichiers avec une architecture de mesure de l'intégrité

Language and Page Formatting Options

22.6. Collecte de hachages de fichiers avec une architecture de mesure de l'intégrité