39191 2020-11-05 15:14:11 +0300 ima-evm-integrity-check: срок жизни ключа 60 дней 2025-06-18 18:19:29 +0300 1 1 4 Development Sisyphus ima-evm-integrity-check unstable x86_64 Linux CLOSED NOTABUG P5 normal --- 1 m manowar manowar nbr qa-sisyphus oldest_to_newest 193798 0 m 2020-11-05 15:14:11 +0300 В ima-evm-integrity-check вызывается openssl req -days 60 Это похоже на копипасту из интернета, там 60 дней ставится почему-то, но ведь это же срок жизни ключа, предполагается, что через 60 дней уже не понадобится им подписывать систему? Приватный ключ в tmpfs хранится, если не предполагается его переиспользовать, срок 60 дней выглядит излишним, а если предполагается переиспользовать - недостаточным. 267339 1 manowar 2025-06-17 22:02:40 +0300 # openssl x509 -in /etc/keys/x509_ima.der -text -noout ... Validity Not Before: Jun 17 17:35:18 2025 GMT Not After : Aug 16 17:35:18 2025 GMT ... Насколько я понимаю, это не ключ, а сам сертификат. 267340 2 manowar 2025-06-17 22:24:23 +0300 Проблема ещё в том, что если просто убрать -days 60, то будет 30. =) Сколько мы на самом деле хотим? Мне кажется, что должно быть бессрочно. 267374 3 nbr 2025-06-18 12:45:12 +0300 приватный ключ уничтожается после подписывания; срок его жизни неважен; система сейчас проверяет подписанность файлов публичным ключом. 267378 4 manowar 2025-06-18 13:07:53 +0300 А где располагается этот публичный ключ? 267381 5 nbr 2025-06-18 13:49:33 +0300 в initrd в /etc/keys там же лежит сертификат. целостность самого initrd должна проверяться другими методами 267395 6 manowar 2025-06-18 15:39:38 +0300 Мы как раз и обсуждаем тут сертификат, который лежит в /etc/keys в initrd. Срок его действия -- 60 дней. По-моему, это ничем не оправдано. 267418 7 manowar 2025-06-18 18:19:29 +0300 На проверку оказалось, что просроченные сертификаты продолжают нормально работать: [root@imatest ~]# openssl x509 -in /etc/keys/x509_ima.der -inform DER | openssl verify O = IMAALT, CN = Executable Signing Key error 18 at 0 depth lookup: self signed certificate O = IMAALT, CN = Executable Signing Key error 10 at 0 depth lookup: certificate has expired error stdin: verification failed [root@imatest ~]# [root@imatest ~]# evmctl ima_verify --key=/etc/keys/x509_ima.der /bin/bash4 key 1: 71b72798 /etc/keys/x509_ima.der /bin/bash4: verification is OK Вот не знаю, хорошо это или плохо. Однако ясно, что при таком поведении ограничение в 60 дней не имеет значения.