Подпись модулей ядра
Модули ядра подписываются дважды, встроенной подписью, которая по умолчанию проверяется независимо от механизма IMA, и наложенной в расширенные атрибуты файла подписью, как и все остальные файлы. Такое решение дает гибкость в настройке ЗПС и дополнительную защиту по умолчанию для модулей ядра. По умолчанию, их встроенные подписи проверяются всегда (отключение), а подписи в расширенных атрибутах проверяются только при включенном механизме IMA (включение и выключение).
Для встроенной подписи одиночного модуля следует выполнить команду
Для наложенной подписи (в расширенных атрибутах) модуля следует выполнить команду:
В общем случае, для подписи содержимого deb-пакетов необходимо использовать скрипт sign-deb.sh
Этот скрипт выполняет как подпись модулей ядра, так и подпись ПО в расширенных атрибутах.
Третий параметр может совпадать с первым, а четвертый со вторым.
В каталоге signed будет сформирован подписанный пакет.deb.