Alibaba Cloud Linux 2系统的ECS实例内核日志(dmesg)存在“integrity: Unable to open file”信息

Alibaba Cloud Linux 2系统的ECS实例内核日志(dmesg)存在“integrity: Unable to open file”信息

更新时间:2020-09-17 17:39:59

问题描述

符合如下条件的Alibaba Cloud Linux 2实例的内核日志(执行dmesg命令查看日志)中存在类似如下的提示信息。

  • 镜像:aliyun_2_1903_x64_20G_alibase_20200529.vhd及之后的所有镜像版本。
  • 内核:kernel-4.19.91-19.1.al7及以后的所有内核版本。
[    2.960294] integrity: Unable to open file: /etc/keys/x509_ima.der (-2)
[    2.960295] integrity: Unable to open file: /etc/keys/x509_evm.der (-2)

问题原因

这并不是内核错误,Alibaba Cloud Linux 2内核开启了CONFIG_IMA_LOAD_X509和CONFIG_EVM_LOAD_X509特性,并且指定了以下配置:

CONFIG_IMA_X509_PATH="/etc/keys/x509_ima.der"
CONFIG_EVM_X509_PATH="/etc/keys/x509_evm.der"

这些配置为可信内核完整性子系统提供了所需的证书路径。如果不是可信系统, 这两个文件不会进行配置,也就会出现问题描述中打开文件失败的信息。

解决方案

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
  • 该问题只是配置问题,并不会对系统造成其它影响,可以直接忽略这些提示信息。
  • 如果以上的提示信息确实造成了困扰,您可以在内核源码目录执行make menuconfig命令,取消以下两个选项的配置,然后重新编译安装内核即可。
    # Load X509 certificate onto the '.ima' trusted keyring
    CONFIG_IMA_LOAD_X509 is not set
    # Load an X509 certificate onto the '.evm' trusted keyring
    CONFIG_EVM_LOAD_X509 is not set

适用于

  • 云服务器ECS

如果您的问题仍未解决,您可以在阿里云社区免费咨询,或提交工单联系阿里云技术支持。