부팅 시 또는 커널 컴파일 시 (IMA) 키링에 키 추가

부팅 시 또는 커널 컴파일 시 (IMA) 키링에 키 추가

keyctl을 사용하여 키링에 키를 추가할 수 있다는 것을 알고 있습니다.

제가 추가하는 키는 IMA/EVM 하위 시스템용이므로 부팅 프로세스 초기에 로드되거나 이미 존재해야 합니다(커널에 컴파일됨).

키링에 연결된 키 세트를 사용하여 Linux 커널(4.1)을 컴파일하는 방법이 있습니까? 아니면 시작 시 로드하려는 키를 특수 폴더(시작 시 로드되는 폴더)에 넣을 수 있나요?

답변1

버전 4.1에서는 "CONFIG_IMA_X509_PATH"("보안 옵션 구성 메뉴의 옵션")에 정의된 경로에 IMA 인증서를 배치하여 IMA 인증서를 로드할 수 있습니다.

("보안 옵션")의 구성 옵션 "CONFIG_IMA_TRUSTED_KEYRING"을 확인하여 컴파일된 루트 디렉터리에 커널의 내장 공개 키를 생성합니다.

그러나 4.1에서는 커널이 부팅 시 ima 인증서가 신뢰할 수 있는 키링의 키로 서명되었는지 확인하지 않는 것 같습니다(나중 버전에서 수정된 것으로 보입니다).

관련 정보