目前,在最新的openEuler21.09版本中,已经支持ima namespace特性(类似其他的namespace特性,主要用于隔离ima资源),如果想要使用,可以重新编译内核,修改配置参数CONFIG_IMA_NS=y,这样编译后的内核就可以使用ima namespace了。
以后isula的版本会支持创建ima namespace的容器,这样,所有容器的IMA measurement list都可以在自身的容器以及对应的主机上可以获取到。并且每个容器的IMA策略、证书等都可以自己配置。
当前需要解决的是,在应用侧,如何进行可信容器证明的问题(包括:IMA相关数据的获取、证明、策略管理、状态管理等)
Hi hongkeyang, welcome to the openEuler Community.
I'm the Bot here serving you. You can find the instructions on how to interact with me at
https://gitee.com/openeuler/community/blob/master/en/sig-infrastructure/command.md.
If you have any questions, please contact the SIG: iSulad, and any of the maintainers: @haomintsai, @lifeng_isula, @haozi007, @jingxiaolu.
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
很好的想法,可以先讨论一下大体的方案。
需要完成的就是management、attest-tools client、attest-tools server部分,完整最终的可信证明
具体信息,我们可以会议沟通
有更新吗?
登录 后才可以发表评论