Alibaba Cloud Linux 2系统的ECS实例内核日志（dmesg）存在“integrity: Unable to open file”信息

问题描述

符合如下条件的Alibaba Cloud Linux 2实例的内核日志（执行dmesg命令查看日志）中存在类似如下的提示信息：

• 镜像：aliyun_2_1903_x64_20G_alibase_20200529.vhd及之后的所有镜像版本。
• 内核：kernel-4.19.91-19.1.al7及以后的所有内核版本。

[    2.960294] integrity: Unable to open file: /etc/keys/x509_ima.der (-2)
[    2.960295] integrity: Unable to open file: /etc/keys/x509_evm.der (-2)

问题原因

这并不是内核错误，Alibaba Cloud Linux 2内核开启了CONFIG_IMA_LOAD_X509和CONFIG_EVM_LOAD_X509特性，并且指定了以下配置：

CONFIG_IMA_X509_PATH="/etc/keys/x509_ima.der"
CONFIG_EVM_X509_PATH="/etc/keys/x509_evm.der"

这些配置为可信内核完整性子系统提供了所需的证书路径。如果不是可信系统， 这两个文件不会进行配置，也就会出现问题描述中打开文件失败的信息。

解决方案

阿里云提醒您：

• 如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。
• 如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。
• 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。

• 该问题只是配置问题，并不会对系统造成其它影响，可以直接忽略这些提示信息。
• 如果以上的提示信息确实造成了困扰，您可以在内核源码目录执行make menuconfig命令，取消以下两个选项的配置，然后重新编译安装内核即可。

  # Load X509 certificate onto the '.ima' trusted keyring
  CONFIG_IMA_LOAD_X509 is not set
  # Load an X509 certificate onto the '.evm' trusted keyring
  CONFIG_EVM_LOAD_X509 is not set

适用于

• 云服务器ECS