Bug 13123

Summary: dolphin-checksign-plugin
Product: [ROSA-based products] ROSA Fresh Reporter: a.betkher <a.betkher>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: a.proklov, e.malashin, v.potapov
Version: AllFlags: v.potapov: qa_verified+
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description a.betkher 2023-02-09 15:13:12 MSK 
new package dolphin-checksign-plugin

https://abf.io/build_lists/4320691 - x86_64
https://abf.io/build_lists/4320692
https://abf.io/build_lists/4320693

Нужно установить ima-evm-utils и настроить по инструкции с этой страницы:
http://wiki.rosalab.ru/ru/index.php/IMA

До подготовки к запуску с IMA, то есть только подписать файлы. Настраивать загрузку с проверкой не нужно. Внимание, приведенным в статье скриптом подписываются все найденные в системе исполняемые файлы, если это не виртуалка лучше подписать выборочно несколько штук:

evmctl ima_sign --hashalgo streebog512 ./файл

Далее установить dolphin-checksign-plugin и открыть dolphin. В пкм меню для файлов появится новый пункт "проверка подписи IMA/EVM". Нужно сравнить на примере подписанных и не подписанных файлов. 
По Мишиной инструкции подписываются только IMA, подпись IMA защищает содержимое файла. Подпись EVM защищает метаданные файла, такие как атрибуты файла и расширенные атрибуты.  Плагин проверяет обе.

для подписи EVM:
evmctl sign --hashalgo streebog512 ./файл

Если evmctl ругается на отсутствие ключей, нужно скопировать созданные ранее по инструкции файлы ключей по путям по которым evmctl ищет.
Comment 1 e.malashin@rosalinux.ru 2023-02-17 12:17:39 MSK 
The update sent to testings
Comment 2 Vladimir Potapov 2023-02-21 10:13:57 MSK 
dolphin-checksign-plugin-0.1-2
https://abf.io/build_lists/4320691 - x86_64
https://abf.io/build_lists/4320692
https://abf.io/build_lists/4320693
***************************** Advisory ********************
New package
***********************************************************
QA Verified