20.10. 为 UEFI 系统部署自定义签名的 IMA 策略

在安全引导环境中,您可能希望只加载由自定义 IMA 密钥签名的 IMA 策略。

先决条件

流程

  1. 启用安全引导.
  2. 永久添加 ima_policy=secure_boot 内核参数。

    具体说明请参阅 使用 sysctl 永久配置内核参数

  3. 运行以下命令准备您的 IMA 策略:

    # evmctl ima_sign /etc/sysconfig/ima-policy -k <PATH_TO_YOUR_CUSTOM_IMA_KEY>
    Place your public certificate under /etc/keys/ima/ and add it to the .ima keyring
  4. 运行以下命令,使用自定义 IMA 代码签名密钥签名策略:

    # keyctl padd asymmetric CUSTOM_IMA1 %:.ima < /etc/ima/keys/my_ima.cer
  5. 运行以下命令载入 IMA 策略:

    # echo /etc/sysconfig/ima-policy > /sys/kernel/security/ima/policy
    # echo $?
    0