摘要:
IMA 在内核审计子系统(auditd)中新增了一组专用事件类型(不同于 IMA-Measurement 或 IMA-Audit 自身日志),专门记录与“完整性校验失败、TPM 扩展失败、策略加载失败”等关键场景相关的审计痕迹。下面按“事件类别 → 日志格式 → 典型示例 → 排查思路”逐层说明。 阅读全文
posted @ 2025-07-30 15:15
云long
阅读(24)
评论(0)
推荐(0)
摘要:
IMA-Audit includes file hashes in the system audit log, which can be used to augment existing system security analytics and/or forensics. IMA-Audit ex 阅读全文
posted @ 2025-07-30 14:16
云long
阅读(24)
评论(0)
推荐(0)
摘要:
IMA-Appraisal(IMA 评估模式)是 Linux 内核 Integrity Measurement Architecture(IMA)子系统的核心能力之一,用于在系统运行时对文件进行主动完整性验证,防止被篡改的文件被访问或执行。以下从“原理→机制→部署→运行→优化”五个维度进行详解。 一 阅读全文
posted @ 2025-07-30 14:05
云long
阅读(117)
评论(0)
推荐(0)
摘要:
ima_appraise The ima_appraise= argument can change the default enforce appraise mode. Note The mode can only be changed if secure boot in the UEFI fi 阅读全文
posted @ 2025-07-30 13:42
云long
阅读(12)
评论(0)
推荐(0)
摘要:
在 IMA 的语境里,append 与 extend 这两个关键词看似只差一个字,却对应两套完全不同的工作方式;一旦混用就会导致“签名放错位置”或“校验不通过”。下面把它们的区别一次性说清。 作用对象不同• append(追加)针对文件本身:把签名数据(CMS/PKCS#7)直接写到文件末尾,像给 阅读全文
posted @ 2025-07-30 11:22
云long
阅读(40)
评论(0)
推荐(0)
摘要:
在 IMA(Integrity Measurement Architecture)的 appraisal 模式 中,Signature(签名机制) 是对文件完整性进行加密级验证的核心手段,区别于哈希校验,它通过数字签名确保文件未被篡改且来源可信。以下是详细解释: 一、IMA 签名的作用与位置 项目说 阅读全文
posted @ 2025-07-30 11:21
云long
阅读(36)
评论(0)
推荐(0)
摘要:
在 IMA(Integrity Measurement Architecture)的 appraisal(评估)子系统 中,ima_appraise= 启动参数控制文件完整性校验的行为,其中涉及 hash(文件哈希值) 的两种关键模式:fix 和 enforce。以下详细说明: 1. fix 模式( 阅读全文
posted @ 2025-07-30 11:09
云long
阅读(41)
评论(0)
推荐(0)
浙公网安备 33010602011771号