Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

24.3.2.8. 무결성 측정 아키텍처를 사용하여 파일 해시 수집

무결성 측정 아키텍처(IMA)의 1단계 운영 단계는 파일 해시를 생성하고 해당 파일의 확장 속성(xattrs)으로 저장할 수 있는 측정 단계입니다. 다음 섹션에서는 파일의 해시를 생성하고 검사하는 방법을 설명합니다.

사전 요구 사항

  • 무결성 측정 아키텍처(IMA) 및 확장된 검증 모듈 활성화에 설명된 대로 무결성 측정 아키텍처(IMA) 및 EVM(Extended verification module )을 활성화합니다.
  • ima-evm-utils,attrkeyutils 패키지가 이미 설치되어 있는지 확인합니다.

    # yum install ima-evm-utils attr keyutils
    Updating Subscription Management repositories.
    This system is registered to Red Hat Subscription Management, but is not receiving updates. You can use subscription-manager to assign subscriptions.
    Last metadata expiration check: 0:58:22 ago on Fri 14 Feb 2020 09:58:23 AM CET.
    Package ima-evm-utils-1.1-5.el8.x86_64 is already installed.
    Package attr-2.4.48-3.el8.x86_64 is already installed.
    Package keyutils-1.5.10-7.el8.x86_64 is already installed.
    Dependencies resolved.
    Nothing to do.
    Complete!

절차

  1. 테스트 파일을 생성합니다.

    # echo <Test_text> > test_file

    IMA 및 EVM은 예제 파일 test_file 에 확장된 속성으로 저장된 해시 값이 할당되어 있는지 확인합니다.

  2. 파일의 확장된 속성을 검사합니다.

    # getfattr -m . -d test_file
    # file: test_file
    security.evm=0sAnDIy4VPA0HArpPO/EqiutnNyBql
    security.ima=0sAQOEDeuUnWzwwKYk+n66h/vby3eD
    security.selinux="unconfined_u:object_r:admin_home_t:s0"

    앞의 출력에서는 SELinux 및 IMA 및 EVM 해시 값과 관련된 확장된 속성을 보여줍니다. EVM은 적극적으로 security.evm 확장 속성을 추가하고 파일의 콘텐츠 무결성과 직접 관련된 security.ima 와 같은 다른 파일의 xattrs에 대한 오프라인 변조를 탐지합니다. security.evm 필드의 값은 evm-key 사용자 키로 생성된 HMAC-SHA1(Hash 기반 Message Authentication Code)에 있습니다.