UBUNTU: [Config] Disable experimental IMA options

author Seth Forshee <seth.forshee@canonical.com>

Fri, 24 Feb 2017 15:46:53 +0000 (09:46 -0600)

committer Seth Forshee <seth.forshee@canonical.com>

Fri, 24 Feb 2017 15:46:53 +0000 (09:46 -0600)
author Seth Forshee <seth.forshee@canonical.com>
Fri, 24 Feb 2017 15:46:53 +0000 (09:46 -0600)
committer Seth Forshee <seth.forshee@canonical.com>
Fri, 24 Feb 2017 15:46:53 +0000 (09:46 -0600)
diff --git a/debian.master/config/annotations b/debian.master/config/annotations

index d6b634156d39612a9f993350610f778db0c9a1a2..a5315a9f5b04feddb2d14e880b7dd4b88a4243f3 100644 (file)
--- a/debian.master/config/annotations
+++ b/debian.master/config/annotations
@@ -10814,7 +10814,9 @@ CONFIG_INTEGRITY_SIGNATURE                      policy<{'amd64': 'y', 'arm64': '
  CONFIG_INTEGRITY_ASYMMETRIC_KEYS                policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc': 'y', 'ppc64el': 'y', 's390x': 'y'}>
  CONFIG_INTEGRITY_TRUSTED_KEYRING                policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc': 'y', 'ppc64el': 'y', 's390x': 'y'}>
  CONFIG_INTEGRITY_AUDIT                          policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc': 'y', 'ppc64el': 'y', 's390x': 'y'}>
-CONFIG_IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc': 'y', 'ppc64el': 'y', 's390x': 'y'}>
+CONFIG_IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY policy<{'amd64': 'n', 'arm64': 'n', 'armhf': 'n', 'i386': 'n', 'powerpc': 'n', 'ppc64el': 'n', 's390x': 'n'}>
+#
+CONFIG_IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY mark<ENFORCED> note<LP:1667490>
  
  # Menu: Security options >> Enable different security models >> Integrity subsystem >> EVM support
  CONFIG_EVM                                      policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc': 'y', 'ppc64el': 'y', 's390x': 'y'}>
@@ -10831,22 +10833,25 @@ CONFIG_EVM_X509_PATH                            note<LP:1643652>
  # Menu: Security options >> Enable different security models >> Integrity subsystem >> Integrity Measurement Architecture(IMA)
  CONFIG_IMA                                      policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc64-emb': 'n', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'y', 's390x': 'y'}>
  CONFIG_IMA_KEXEC                                policy<{'powerpc-generic': 'y', 'ppc64el': 'y'}>
-CONFIG_IMA_WRITE_POLICY                         policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'y', 's390x': 'y'}>
-CONFIG_IMA_READ_POLICY                          policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'y', 's390x': 'y'}>
+CONFIG_IMA_WRITE_POLICY                         policy<{'amd64': 'n', 'arm64': 'n', 'armhf': 'n', 'i386': 'n', 'powerpc-generic': 'n', 'powerpc-powerpc-e500mc': 'n', 'powerpc-powerpc-smp': 'n', 'ppc64el': 'n', 's390x': 'n'}>
+CONFIG_IMA_READ_POLICY                          policy<{'amd64': 'n', 'arm64': 'n', 'armhf': 'n', 'i386': 'n', 'powerpc-generic': 'n', 'powerpc-powerpc-e500mc': 'n', 'powerpc-powerpc-smp': 'n', 'ppc64el': 'n', 's390x': 'n'}>
  CONFIG_IMA_APPRAISE                             policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'y', 's390x': 'y'}>
  CONFIG_IMA_TRUSTED_KEYRING                      policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'y', 's390x': 'y'}>
-CONFIG_IMA_BLACKLIST_KEYRING                    policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'y', 's390x': 'y'}>
+CONFIG_IMA_BLACKLIST_KEYRING                    policy<{'amd64': 'n', 'arm64': 'n', 'armhf': 'n', 'i386': 'n', 'powerpc-generic': 'n', 'powerpc-powerpc-e500mc': 'n', 'powerpc-powerpc-smp': 'n', 'ppc64el': 'n', 's390x': 'n'}>
  CONFIG_IMA_LOAD_X509                            policy<{'amd64': 'n', 'arm64': 'n', 'armhf': 'n', 'i386': 'n', 'powerpc-generic': 'n', 'powerpc-powerpc-e500mc': 'n', 'powerpc-powerpc-smp': 'n', 'ppc64el': 'y', 's390x': 'n'}>
  CONFIG_IMA_X509_PATH                            policy<{'ppc64el': '"/etc/keys/x509_ima.der"'}>
-CONFIG_IMA_APPRAISE_SIGNED_INIT                 policy<{'ppc64el': 'y'}>
+CONFIG_IMA_APPRAISE_SIGNED_INIT                 policy<{'ppc64el': 'n'}>
  #
  CONFIG_IMA                                      mark<ENFORCED> note<LP:1643652>
  CONFIG_IMA_KEXEC                                mark<ENFORCED> note<LP:1643652>
-CONFIG_IMA_READ_POLICY                          mark<ENFORCED> note<LP:1643652>
+CONFIG_IMA_WRITE_POLICY                         mark<ENFORCED> note<LP:1667490>
+CONFIG_IMA_READ_POLICY                          mark<ENFORCED> note<LP:1667490>
  CONFIG_IMA_APPRAISE                             mark<ENFORCED> note<LP:1643652>
  CONFIG_IMA_TRUSTED_KEYRING                      mark<ENFORCED> note<LP:1643652>
+CONFIG_IMA_BLACKLIST_KEYRING                    mark<ENFORCED> note<LP:1667490>
  CONFIG_IMA_LOAD_X509                            mark<ENFORCED> note<LP:1643652>
  CONFIG_IMA_X509_PATH                            mark<ENFORCED> note<LP:1643652>
+CONFIG_IMA_APPRAISE_SIGNED_INIT                 mark<ENFORCED> note<LP:1667490>
  
  # Menu: Security options >> Enable different security models >> Integrity subsystem >> Integrity Measurement Architecture(IMA) >> Default integrity hash algorithm
  CONFIG_IMA_DEFAULT_HASH_SHA1                    policy<{'amd64': 'y', 'arm64': 'y', 'armhf': 'y', 'i386': 'y', 'powerpc-generic': 'y', 'powerpc-powerpc-e500mc': 'y', 'powerpc-powerpc-smp': 'y', 'ppc64el': 'n', 's390x': 'y'}>
diff --git a/debian.master/config/config.common.ubuntu b/debian.master/config/config.common.ubuntu

index a18fa1ceadcecdea77859db5eb94be7720e5bbe3..5f1928bebc60c512e392f766f450ff8c31bbe0af 100644 (file)
--- a/debian.master/config/config.common.ubuntu
+++ b/debian.master/config/config.common.ubuntu
@@ -3712,18 +3712,18 @@ CONFIG_IIO_TRIGGERED_BUFFER=m
  CONFIG_IIO_TRIGGERED_EVENT=m
  # CONFIG_IKCONFIG is not set
  CONFIG_IMA_APPRAISE=y
-CONFIG_IMA_APPRAISE_SIGNED_INIT=y
-CONFIG_IMA_BLACKLIST_KEYRING=y
+# CONFIG_IMA_APPRAISE_SIGNED_INIT is not set
+# CONFIG_IMA_BLACKLIST_KEYRING is not set
  # CONFIG_IMA_DEFAULT_HASH_SHA512 is not set
  # CONFIG_IMA_DEFAULT_HASH_WP512 is not set
  CONFIG_IMA_KEXEC=y
-CONFIG_IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY=y
+# CONFIG_IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY is not set
  CONFIG_IMA_LSM_RULES=y
  CONFIG_IMA_MEASURE_PCR_IDX=10
-CONFIG_IMA_READ_POLICY=y
+# CONFIG_IMA_READ_POLICY is not set
  # CONFIG_IMA_TEMPLATE is not set
  CONFIG_IMA_TRUSTED_KEYRING=y
-CONFIG_IMA_WRITE_POLICY=y
+# CONFIG_IMA_WRITE_POLICY is not set
  CONFIG_IMA_X509_PATH="/etc/keys/x509_ima.der"
  CONFIG_IMG_ASCII_LCD=m
  CONFIG_IMX2_WDT=m
author	Seth Forshee <seth.forshee@canonical.com>
	Fri, 24 Feb 2017 15:46:53 +0000 (09:46 -0600)
committer	Seth Forshee <seth.forshee@canonical.com>
	Fri, 24 Feb 2017 15:46:53 +0000 (09:46 -0600)
debian.master/config/annotations		patch \| blob \| blame \| history
debian.master/config/config.common.ubuntu		patch \| blob \| blame \| history