keyutils-1.6.3

Introdução a keyutils

Keyutils é um conjunto de utilitários para gerenciar o recurso de retenção de chave no núcleo, que pode ser usado por sistemas de arquivos, dispositivos de bloco e muito mais para obter e reter as chaves de autorização e de encriptação exigidas para realizar operações seguras.

Esse pacote é conhecido por construir e funcionar corretamente usando uma plataforma LFS 12.1.

Informação do Pacote

Dependências do Keyutils

Opcionais

lsb-tools-0.12 (referido pela suíte de teste)

Configuração do Núcleo

Se executar a suíte de teste, alguns testes precisarão dos seguintes recursos do núcleo habilitados:

Security options --->
  [*] Enable access key retention support                                 [KEYS]
  [*]   Large payload keys                                            [BIG_KEYS]
  [*]   Diffie-Hellman operations on retained keys           [KEY_DH_OPERATIONS]

-*- Cryptographic API --->                                              [CRYPTO]
  Public-key cryptography --->
    <*/M> RSA (Rivest-Shamir-Adleman)                               [CRYPTO_RSA]
  [*] Asymmetric (public-key cryptographic) key type --->  [ASYMMETRIC_KEY_TYPE]
    <*> Asymmetric public-key crypto algorithm subtype
                                            ...  [ASYMMETRIC_PUBLIC_KEY_SUBTYPE]
    # If not built into the kernel, [SYSTEM_TRUSTED_KEYRING] won't show up;
    # building as a module won't work:
    <*>   X.509 certificate parser                     [X509_CERTIFICATE_PARSER]
  Certificates for signature checking --->
    [*] Provide system-wide ring of trusted keys        [SYSTEM_TRUSTED_KEYRING]
    [*]   Provide a keyring to which extra trustable keys may be added
                                                ...  [SECONDARY_TRUSTED_KEYRING]
    [*] Provide system-wide ring of blacklisted keys  [SYSTEM_BLACKLIST_KEYRING]

Library routines --->
  Crypto library routines --->
    # If not built into the kernel, [BIG_KEYS] won't show up;
    # building as a module won't work:
    <*> ChaCha20-Poly1305 AEAD support (8-byte nonce library version)
                                              ...  [CRYPTO_LIB_CHACHA20POLY1305]

Instalação do keyutils

Instale keyutils executando os seguintes comandos:

make

Agora, como o(a) usuário(a) root:

make NO_ARLIB=1 LIBDIR=/usr/lib BINDIR=/usr/bin SBINDIR=/usr/sbin install

A suíte de teste só pode executar depois de instalar-se esse pacote. Para testar os resultados, emita, como o(a) usuário(a) root:

make -k test

Se lsb-tools-0.12 não estiver instalado, a suíte de teste produzirá algumas linhas reclamando que o comando lsb_release não está disponível, mas não afetará o resultado do teste. Um teste chamado TRY ADDING ASYMMETRIC KEYS é conhecido por falhar devido à remoção do suporte para SHA1 com algoritmo de assinatura RSA do núcleo Linux versão 6.7 ou mais recente.

Explicações do Comando

NO_ARLIB=1: Esse sinalizador do "make" desabilita a instalação da biblioteca estática.

Configurando keyutils

Arquivos de Configuração

/etc/request-key.conf e /etc/request-key.d/*

Conteúdo

Aplicativos Instalados: keyctl, key.dns_resolver e request-key
Biblioteca Instalada: libkeyutils.so
Diretório Instalado: /etc/keyutils, /etc/request-key.d e /usr/share/keyutils

Descrições Curtas

keyctl

controla o recurso de gerenciamento de chave com uma variedade de subcomandos

key.dns_resolver

é invocado por request-key em nome do núcleo quando os serviços do núcleo (como NFS, CIFS e AFS) precisam realizar uma pesquisa de nome de dispositivo e o núcleo não tem a chave armazenada em cache. Não é destinado, ordinariamente, a ser chamado diretamente

request-key

é invocado pelo núcleo quando o núcleo é solicitado por uma chave que não tem imediatamente disponível. O núcleo cria uma chave temporária e, em seguida, chama esse aplicativo para instanciá-lo. Não é destinado a ser chamado diretamente

libkeyutils.so

contém a instanciação da API da biblioteca "keyutils"