keyutils-1.6.3

Introduction à keyutils

Keyutils est un ensemble d'outils de gestion de la conservation des clés dans le noyau, que peuvent utiliser les systèmes de fichiers, les périphériques de blocs et la base pour conserver l'autorisation et les clés de chiffrement nécessaires pour effectuer des opérations sécurisées.

This package is known to build and work properly using an LFS 12.1 platform.

Informations sur le paquet

Dépendances de Keyutils

Facultatives

lsb-tools-0.12 (référencé par la suite de tests)

Configuration du noyau

Si vous exécutez la suite de tests, certains tests ont besoin que les fonctionnalités du noyau suivantes soient activées :

Security options --->
  [*] Enable access key retention support                                 [KEYS]
  [*]   Large payload keys                                            [BIG_KEYS]
  [*]   Diffie-Hellman operations on retained keys           [KEY_DH_OPERATIONS]

-*- Cryptographic API --->                                              [CRYPTO]
  Public-key cryptography --->
    <*/M> RSA (Rivest-Shamir-Adleman)                               [CRYPTO_RSA]
  [*] Asymmetric (public-key cryptographic) key type --->  [ASYMMETRIC_KEY_TYPE]
    <*> Asymmetric public-key crypto algorithm subtype
                                            ...  [ASYMMETRIC_PUBLIC_KEY_SUBTYPE]
    # If not built into the kernel, [SYSTEM_TRUSTED_KEYRING] won't show up;
    # building as a module won't work:
    <*>   X.509 certificate parser                     [X509_CERTIFICATE_PARSER]
  Certificates for signature checking --->
    [*] Provide system-wide ring of trusted keys        [SYSTEM_TRUSTED_KEYRING]
    [*]   Provide a keyring to which extra trustable keys may be added
                                                ...  [SECONDARY_TRUSTED_KEYRING]
    [*] Provide system-wide ring of blacklisted keys  [SYSTEM_BLACKLIST_KEYRING]

Library routines --->
  Crypto library routines --->
    # If not built into the kernel, [BIG_KEYS] won't show up;
    # building as a module won't work:
    <*> ChaCha20-Poly1305 AEAD support (8-byte nonce library version)
                                              ...  [CRYPTO_LIB_CHACHA20POLY1305]

Installation de keyutils

Installez keyutils en exécutant les commandes suivantes :

make

Maintenant, en tant qu'utilisateur root :

make NO_ARLIB=1 LIBDIR=/usr/lib BINDIR=/usr/bin SBINDIR=/usr/sbin install

La suite de tests ne peut être exécutée qu'après l'installation de ce paquet. Pour tester les résultats, lancez, en tant qu'utilisateur root :

make -k test

Si lsb-tools-0.12 n'est pas installé, la suite de tests affichera des lignes qui se plaignent que la commande lsb_release n'est pas disponible mais cela n'affecte pas le résultat des tests. Un test nommé TRY ADDING ASYMMETRIC KEYS est connu pour échouer à cause de la suppression de la prise en charge de SHA1 avec l'algorithme de signature RSA du noyau Linux version 6.7 et supérieur.

Explication des commandes

NO_ARLIB=1 : Ce drapeau désactive l'installation des bibliothèques statiques.

Configuration de keyutils

Fichiers de configuration

/etc/request-key.conf et /etc/request-key.d/*

Contenu

Programmes installés: keyctl, key.dns_resolver et request-key
Bibliothèque installée: libkeyutils.so
Répertoire installé: /etc/keyutils, /etc/request-key.d et /usr/share/keyutils

Descriptions courtes

keyctl

contrôle la gestion de clés de différentes façons, en utilisant toute une variété de sous-commande

key.dns_resolver

est appelé par request-key au nom du noyau quand les services noyau (comme NFS, CIFS et AFS) doivent effectuer une résolution de noms et que le noyau n'a pas la clé dans le cache. Ce n'est pas prévu pour être appelé directement

request-key

est appelé par le noyau quand le noyau est interrogé pour une clé qui n'est pas immédiatement disponible. Le noyau crée une clé temporaire et ensuite demande au programme de l’instancier. Ce n'est pas prévu pour être appelé directement

libkeyutils.so

contient les déclarations de l'API de la bibliothèque de keyutils