ADD Integrity subsystem
This commit is contained in:
@@ -661,3 +661,69 @@ Wenn Sie unsicher sind, lassen Sie das Feld leer.
|
||||
This policy will be enforced until a policy update is deployed via the \texttt{\$securityfs/ipe/policies/\$policy\_name/active} interface.\\
|
||||
If unsure, leave blank.}
|
||||
|
||||
\subsubsection{IPE policy update verification with secondary keyring}
|
||||
CONFIG\_IPE\_POLICY\_SIG\_SECONDARY\_KEYRING [=y] \textbf{[Y]}\\
|
||||
Erlauben Sie auch dem sekundären vertrauenswürdigen Schlüsselbund, IPE-Richtlinienaktualisierungen zu überprüfen.\\
|
||||
Wenn Sie unsicher sind, antworten Sie mit Y für Ja.
|
||||
\english{Also allow the secondary trusted keyring to verify IPE policy updates.\\
|
||||
If unsure, answer Y.}
|
||||
|
||||
\subsubsection{IPE policy update verification with platform keyring}
|
||||
CONFIG\_IPE\_POLICY\_SIG\_SECONDARY\_KEYRING [=y] \textbf{[Y]}\\
|
||||
Erlauben Sie außerdem, dass der vertrauenswürdige Schlüsselbund der Plattform IPE"=Richt\-linien\-aktuali\-sie\-rungen überprüft.\\
|
||||
Wenn Sie unsicher sind, antworten Sie mit Y für Ja.
|
||||
\english{Also allow the platform trusted keyring to verify IPE policy updates.\\
|
||||
If unsure, answer Y.}
|
||||
|
||||
\subsubsection{IPE Trust Providers \texorpdfstring{$\longrightarrow$}{->}}
|
||||
\textit{IPE-Vertrauenspersonen}
|
||||
|
||||
\paragraph{Enable support for dm-verity based on root hash}$~$\\
|
||||
CONFIG\_IPE\_PROP\_DM\_VERITY [=y] \textbf{[Y]}\\
|
||||
Diese Option aktiviert die Eigenschaft \glqq dmverity\_roothash\grqq{} in IPE-Richtlinien.
|
||||
Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei von einem dm-verity-Volume ausgewertet wird
|
||||
und der Root-Hash des Volumes mit dem in der Richtlinie angegebenen Wert übereinstimmt.
|
||||
\english{This option enables the `dmverity\_roothash' property within IPE policies.
|
||||
The property evaluates to TRUE when a file from a dm-verity volume is evaluated, and the volume's root hash matches the value supplied in the policy.}
|
||||
|
||||
|
||||
\paragraph{Enable support for dm-verity based on root hash signature}$~$\\
|
||||
CONFIG\_IPE\_PROP\_DM\_VERITY\_SIGNATURE [=y] \textbf{[Y]}\\
|
||||
Diese Option aktiviert die Eigenschaft \glqq dmverity\_signature\grqq{} innerhalb von IPE-Richtlinien.
|
||||
Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei von einem dm-verity-Volume, das mit einem gültigen signierten Root-Hash gemountet wurde, ausgewertet wird.
|
||||
Wenn Sie unsicher sind, antworten Sie mit Y.
|
||||
\english{This option enables the `dmverity\_signature' property within IPE policies.
|
||||
The property evaluates to TRUE when a file from a dm-verity volume, which has been mounted with a valid signed root hash, is evaluated.\\
|
||||
If unsure, answer Y.}
|
||||
|
||||
|
||||
\paragraph{Enable support for fs-verity based on file digest}$~$\\
|
||||
CONFIG\_IPE\_PROP\_FS\_VERITY [=y] \textbf{[Y]}\\
|
||||
Diese Option aktiviert die Eigenschaft \glqq fsverity\_digest\grqq{} in IPE-Richtlinien.
|
||||
Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei \texttt{fsverity} aktiviert ist und ihr Digest-Wert mit dem in der Richtlinie angegebenen Digest-Wert übereinstimmt.\\
|
||||
Wenn Sie unsicher sind, antworten Sie mit Y.
|
||||
\english{This option enables the `fsverity\_digest' property within IPE policies.
|
||||
The property evaluates to TRUE when a file is fsverity enabled and its digest matches the supplied digest value in the policy.\\
|
||||
if unsure, answer Y.}
|
||||
|
||||
|
||||
\paragraph{Enable support for fs-verity based on builtin signature}$~$\\
|
||||
CONFIG\_IPE\_PROP\_FS\_VERITY\_BUILTIN\_SIG [=y] \textbf{[Y]}\\
|
||||
Diese Option aktiviert die Eigenschaft \glqq fsverity\_signature\grqq{} in IPE-Richtlinien.
|
||||
Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei \texttt{fsverity} aktiviert ist und eine gültige eingebaute Signatur hat,
|
||||
deren Signierzertifikat sich im .fs-verity-Schlüsselbund befindet.\\
|
||||
Wenn Sie unsicher sind, antworten Sie mit Y.
|
||||
\english{This option enables the `fsverity\_signature' property within IPE policies.
|
||||
The property evaluates to TRUE when a file is fsverity enabled and it has a valid builtin signature whose signing cert is in the .fs-verity keyring.\\
|
||||
if unsure, answer Y.}
|
||||
|
||||
%17.25
|
||||
\subsection{Integrity subsystem}
|
||||
CONFIG\_INTEGRITY [=y] \textbf{[Y]}\\
|
||||
Mit dieser Option wird das Integritäts-Subsystem aktiviert, das aus einer Reihe verschiedener Komponenten besteht, darunter die Integritätsmessarchitektur (IMA),
|
||||
das erweiterte Verifizierungsmodul (EVM), die IMA-Bewertungserweiterung, die Erweiterung für die Verifizierung digitaler Signaturen
|
||||
und die Unterstützung von Audit-Messprotokollen.\\
|
||||
Jede dieser Komponenten kann separat aktiviert/deaktiviert werden. Weitere Einzelheiten finden Sie bei den einzelnen Komponenten.
|
||||
\english{This option enables the integrity subsystem, which is comprised of a number of different components including the Integrity Measurement Architecture (IMA),
|
||||
Extended Verification Module (EVM), IMA-appraisal extension, digital signature verification extension and audit measurement log support.\\
|
||||
Each of these components can be enabled/disabled separately. Refer to the individual components for additional details.}
|
||||
|
||||
Reference in New Issue
Block a user