48556 2023-11-22 23:51:18 +0300 integrity-sign script possible leaves immutable files 2026-04-07 16:45:44 +0300 1 1 4 Development Sisyphus ima-evm-integrity-check unstable all Linux CLOSED FIXED P5 major --- 1 naf manowar manowar nbr qa-sisyphus oldest_to_newest 237671 0 naf 2023-11-22 23:51:18 +0300 Для ima-evm-integrity-check 0.5.0-alt1, создание подписей IMA/EVM выполняется в скрипте integrity-sign. Для данного скрипта установлены флаги '-eu', т.е. выполнение прерывается в случае возникновения ошибки. При создании подписи файла в функции sign_one_file(), после подписывания файла через "evmctl sign" на файл ставится флаг "immutable". Задание подписей для всех файлов системы в функции sign_files() идёт в цикле verbose "Signing files..." while read file; do sign_one_file "$file" || message "Can't sign file $file" done Соответственно, если при создании подписи какого-либо файла возникает ошибка в sign_one_file(), то выдаётся сообщение и продолжается обработка списка файлов. После завершения создания подписей ранее установленные флаги "immutable" сбрасываются в функции no_immutable_files() в цикле while read file; do chattr -i "$file" done Если при вызове chattr возникает ошибка, то выполнение функции no_immutable_files() прерывается, что оставляет в системе часть файлов с установленным ранее флагом "immutable". Файлы для подписывания ищутся в т.ч. в /var/lib/ . Как минимум для LXC/LXD в /var/lib/lxcfs/ монтируется файловая система lxcfs, которая не поддерживает ни обычные, ни расширенные атрибуты файлов. При попытке создать подписи для файлов в ней возникающие в sign_one_file() ошибки _пропускаются_, а при сбросе флагов "immutable" в no_immutable_files() ошибка в chattr вызывает _прерывание выполнения_ цикла по списку файлов - в итоге часть файлов, обработанных sign_files(), остаётся с установленными флагами "immutable". Сразу на работе системы это не сказывается, но при следующем запуске updater-start такие файлы вызывают ошибки при работе apt-get dist-upgrade, с невозможностью установки части пакетов, частичной установкой пакетов, дублированием установленных пакетов и т.п. Соответственно, имеет смысл обрабатывать в no_immutable_files() ошибки аналогично тому, как это делается в sign_files() - соответствующий патч приложен. 237673 1 15097 naf 2023-11-22 23:55:42 +0300 Created attachment 15097 Patch for /usr/sbin/integrity-sign script 285294 2 manowar 2026-04-07 16:45:44 +0300 ima-evm-integrity-check 0.7.5-alt1: - Don't set or reset the immutable flag (closes: 48556). 15097 2023-11-22 23:55:42 +0300 2023-11-22 23:55:42 +0300 Patch for /usr/sbin/integrity-sign script integrity-sign.patch text/plain 311 naf LS0tIC91c3Ivc2Jpbi9pbnRlZ3JpdHktc2lnbi5vcmlnCTIwMjAtMDEtMjEgMTc6MDg6MzQuMDAw MDAwMDAwICswMzAwCisrKyAvdXNyL3NiaW4vaW50ZWdyaXR5LXNpZ24JMjAyMy0xMS0yMiAyMzow MDo0NS44MDI1MTMwODEgKzAzMDAKQEAgLTE2Nyw3ICsxNjcsNyBAQAogbm9faW1tdXRhYmxlX2Zp bGVzKCkKIHsKIAl3aGlsZSByZWFkIGZpbGU7IGRvCi0JCWNoYXR0ciAtaSAiJGZpbGUiCisJCWNo YXR0ciAtaSAiJGZpbGUiIHx8IG1lc3NhZ2UgIkNhbid0IHJlc2V0IGltbXV0YWJsZSBmbGFnIGZv ciBmaWxlICRmaWxlIgogCWRvbmUKIH0KIAo=