Come utilizzare l'architettura di misurazione dell'integrità del kernel Linux

Blog

Il sottosistema di integrità del kernel può essere utilizzato per rilevare se un file è stato alterato (accidentalmente o intenzionalmente), sia in remoto che in locale. Lo fa valutando la misurazione di un file (il suo valore hash) rispetto a un buon valore memorizzato in precedenza come attributo esteso ( su file system che supportano attributi estesi come ext3, ext4. eccetera .). Meccanismi simili, ma complementari, sono forniti da altre tecnologie di sicurezza come SELinux che, a seconda della politica, possono tentare di proteggere l'integrità dei file.



Il sottosistema Linux IMA (Integrity Measurement Architecture) introduce hook all'interno del kernel Linux per supportare la creazione e la raccolta di hash di file all'apertura, prima che sia possibile accedere al loro contenuto per la lettura o l'esecuzione. Il sottosistema di misurazione IMA è stato aggiunto in linux-2.6.30 ed è supportato da Red Hat Enterprise Linux 8.

Il sottosistema di integrità del kernel è costituito da due componenti principali. L'Integrity Measurement Architecture (IMA) è responsabile della raccolta degli hash dei file, posizionandoli nella memoria del kernel (dove le applicazioni dell'ambiente utente non possono accedervi/modificarlo) e consente a parti locali e remote di verificare i valori misurati. Il modulo di verifica estesa (EVM) rileva la manomissione offline (questo potrebbe aiutare a mitigare attacchi da cameriera malvagia ) degli attributi estesi di sicurezza.



IMA mantiene un elenco di misurazioni di runtime e, se ancorato a un Trusted Platform Module (TPM) hardware, un valore di integrità aggregato su questo elenco. Il vantaggio dell'ancoraggio del valore di integrità aggregata nel TPM è che l'elenco delle misurazioni è difficile da compromettere da un attacco software, senza che sia rilevabile. Quindi, su un sistema di avvio affidabile, la misurazione IMA può essere utilizzata per attestare l'integrità del runtime del sistema.

Abilitazione della misurazione IMA:

La misurazione IMA può essere abilitata aggiungendo i parametri ima=on ima_policy= alla riga di comando del kernel e riavviando il sistema. Il parametro policy accetta uno dei seguenti valori:



  • |_+_| - misura tutti gli eseguibili eseguiti, tutti i file mmap'd per l'esecuzione (come le librerie condivise), tutti i moduli del kernel caricati e tutto il firmware caricato. Inoltre, vengono misurati anche tutti i file letti da root.
  • |_+_| - valuta tutti i file di proprietà di root.
  • |_+_| - valuta tutti i moduli caricati, firmware, kernel kexec'd e policy IMA. Richiede anche loro di avere anche una firma IMA. Questo è normalmente utilizzato con l'opzione CONFIG_INTEGRITY_TRUSTED_KEYRING nel kernel in uno scenario di avvio sicuro, con la chiave pubblica ottenuta dall'OEM nel firmware o tramite il MOK (Machine Owner Key) in shim.

#linux

come prelevare denaro dal portafoglio fiduciario al conto bancario

www.redhat.com

Come utilizzare l'architettura di misurazione dell'integrità del kernel Linux

Come utilizzare l'architettura di misurazione dell'integrità del kernel Linux. Il sottosistema Linux IMA (Integrity Measurement Architecture) introduce hook all'interno del kernel Linux per supportare la creazione e la raccolta di hash di file all'apertura, prima che sia possibile accedere al loro contenuto per la lettura o l'esecuzione.