fsverity_init Поддержка встроенных подписей файлов Тип файла: команда Параметры: Комментарии Поддержка встроенных подписей файлов Чтобы удовлетворить потребности некоторых пользователей, добавьте дополнительную поддержку того, чтобы fs-verity обрабатывала часть политики аутентификации в ядре. Создается связка ключей «.fs-verity», к которой можно добавлять сертификаты X.509; затем можно установить sysctl 'fs.verity.require_signatures', чтобы ядро требовало, чтобы все файлы fs-verity содержали подпись измерения их файла с помощью ключа в этом наборе ключей. Полную документацию смотрите в разделе «Встроенная проверка подписи» документа Documentation/filesystems/fsverity.rst. Возможно, не относится к этой утилите: https://www.kernel.org/doc/html/next/filesystems/fsverity.html Защита подлинности на основе файлов только для чтения Введение fs-verity (fs/verity/) — это уровень поддержки, к которому могут подключаться файловые системы для обеспечения прозрачной целостности и защиты подлинности файлов, доступных только для чтения. В настоящее время он поддерживается файловыми системами ext4, f2fs и btrfs. Как и в случае с fscrypt, для поддержки fs-verity не требуется слишком много кода, специфичного для файловой системы. fs-verity похож на dm-verity, но работает с файлами, а не с блочными устройствами. Для обычных файлов в файловых системах, поддерживающих fs-verity, пользовательское пространство может выполнить ioctl, который заставляет файловую систему построить дерево Меркла для файла и сохранить его в определенном для файловой системы месте, связанном с файлом. После этого файл становится доступным только для чтения, и все операции чтения из файла автоматически проверяются по дереву Меркла файла. Чтение любых поврежденных данных, включая чтение mmap, завершится неудачей. Пользовательское пространство может использовать другой ioctl для получения корневого хэша (фактически «дайджеста файла fs-verity», который представляет собой хеш, включающий корневой хеш дерева Меркла), который fs-verity применяет для файла. Этот ioctl выполняется за постоянное время, независимо от размера файла. fs-verity — это, по сути, способ хэширования файла за постоянное время с учетом оговорки, что чтение, нарушающее хеш, завершится неудачей во время выполнения. |