keyctlを使用してキーリングにキーを追加できることを知っています。
私が追加するキーはIMA / EVMサブシステム用であるため、起動プロセスの最初にロードされるか、すでに存在する必要があります(カーネルにコンパイルされています)。
キーリングに関連付けられたキーセットを使用してLinuxカーネル(4.1)をコンパイルする方法はありますか?または、起動時にロードしたいキーを特別なフォルダ(起動時にロードされるフォルダ)に配置できますか?
ベストアンサー1
バージョン4.1では、「CONFIG_IMA_X509_PATH」(「セキュリティオプション設定メニューのオプション」)で定義されているパスにIMA証明書を配置して、IMA証明書をロードできます。
(「セキュリティオプション」)の設定オプション「CONFIG_IMA_TRUSTED_KEYRING」を確認して、コンパイルされたルートディレクトリにカーネルの組み込み公開鍵を生成します。
ただし、4.1では、カーネルが起動時にima証明書が信頼できるキーリングのキーで署名されていることを確認していないようです(将来のバージョンで修正されたようです)。