如果您的问题仍未解决,点击我要提问试试。
Alibaba Cloud Linux 2系统的ECS实例内核日志(dmesg)存在“integrity: Unable to open file”信息
问题描述
符合如下条件的Alibaba Cloud Linux 2实例的内核日志(执行dmesg命令查看日志)中存在类似如下的提示信息:
- 镜像:aliyun_2_1903_x64_20G_alibase_20200529.vhd及之后的所有镜像版本。
- 内核:kernel-4.19.91-19.1.al7及以后的所有内核版本。
[ 2.960294] integrity: Unable to open file: /etc/keys/x509_ima.der (-2)
[ 2.960295] integrity: Unable to open file: /etc/keys/x509_evm.der (-2)
问题原因
这并不是内核错误,Alibaba Cloud Linux 2内核开启了CONFIG_IMA_LOAD_X509和CONFIG_EVM_LOAD_X509特性,并且指定了以下配置:
CONFIG_IMA_X509_PATH="/etc/keys/x509_ima.der"
CONFIG_EVM_X509_PATH="/etc/keys/x509_evm.der"
这些配置为可信内核完整性子系统提供了所需的证书路径。如果不是可信系统, 这两个文件不会进行配置,也就会出现问题描述中打开文件失败的信息。
解决方案
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
- 该问题只是配置问题,并不会对系统造成其它影响,可以直接忽略这些提示信息。
- 如果以上的提示信息确实造成了困扰,您可以在内核源码目录执行
make menuconfig命令,取消以下两个选项的配置,然后重新编译安装内核即可。# Load X509 certificate onto the '.ima' trusted keyring CONFIG_IMA_LOAD_X509 is not set # Load an X509 certificate onto the '.evm' trusted keyring CONFIG_EVM_LOAD_X509 is not set
适用于
- 云服务器ECS