我正在尝试在 Debian Buster 内核 v5.7.13 中创建一个为 Linux 的 IMA 子系统加载一些密钥的初始化脚本。按照此手册页evmctl
上的说明,我编写/复制了一个脚本,/etc/initramfs-tools/scripts/local-top/ima.sh
如下所示:
#!/bin/sh
# mount securityfs if not mounted
SECFS=/sys/kernel/security
grep -q $SECFS /proc/mounts || mount -n -t securityfs securityfs $SECFS
# search for IMA trusted keyring, then for untrusted
ima_id="`awk '/\.ima/ { printf "%d", "0x"$1; }' /proc/keys`"
if [ -z "$ima_id" ]; then
ima_id=`/bin/keyctl search @u keyring _ima 2>/dev/null`
if [ -z "$ima_id" ]; then
ima_id=`keyctl newring _ima @u`
fi
fi
# import IMA X509 certificate
# evmctl import /etc/keys/x509_ima.der $ima_id
evmctl import /etc/keys/x509_evm.der $ima_id
# search for EVM keyring
evm_id=`keyctl search @u keyring _evm 2>/dev/null`
if [ -z "$evm_id" ]; then
evm_id=`keyctl newring _evm @u`
fi
# import EVM X509 certificate
evmctl import /etc/keys/x509_evm.der $evm_id
# a) import EVM encrypted key
cat /etc/keys/kmk | keyctl padd user kmk @u
keyctl add encrypted evm-key "load `cat /etc/keys/evm-key`" @u
# enable EVM
echo "1" > /sys/kernel/security/evm
之后,我通过运行update-initramfs -u
它来更新我的 initramfs 图像,该图像运行完成而没有错误。但是,当我尝试启动机器时,出现以下错误(从我的 VM 截屏)。
我在这里错过了一步吗?如何使某些文件可用于我的 initramfs 脚本?当系统完全启动时,我能够很好地执行脚本。
感谢您的帮助。