我正在尝试在本指南http://linux-ima.sourceforge.net/linux-ima-content.html-20110907的帮助下,在RHEL中设置Linux IMA。 我想build立一个系统,让我select的敏感文件被重新测量,如果文件已经改变(我卡在有关重新测量文件的部分)。 我的/etc/fstab看起来像这样:
UUID = c8dbe0a9-8c0c-4aba-adff-bcf2dd4640da / ext4,iversion默认值1 1
UUID = b1762b74-d517-4293-8b49-cdc06b94d78c / boot ext3默认值1 2
UUID = 8c6b8003-7176-4cf4-ae23-a124f8768c36 swap swap defaults 0 0
当我检查测量列表时,在/sys/kernel/security/ima/ascii_runtime_measurements我只看到一个条目如下:
10 3f0d6c1e772444096d975aba704a10e4820eabab ima 7b739f0b35c61d68bd664d352b6631c366aee34f boot_aggregate
即使我在/ etc /中更改某些文件或执行其他操作,我也没有观察到任何其他测量值。 有什么想法可能会出错?
你应该为内核提供ima策略。
“ima_tcb”是默认策略,可以指定为内核的命令行参数( https://sourceforge.net/p/linux-ima/wiki/Home/#controlling-ima )。
如果您需要指定自己的策略,则应将其置于<securityfs>/ima/policy ( https://sourceforge.net/p/linux-ima/wiki/Home/#defining-an-lsm-specific-policy )。