Echtheit der TE Zertifikate mit AIX Installations-Image überprüfen

Under Construction

Arbeiten mit AIX -> AIX-Sicherheit > Trusted Execution (TE) > Vor der Aktivierung von Trusted Execution > Sind die verwendeten Zertifikate echt?

Echtheit der TE Zertifikate mit AIX Installations-Image überprüfen

Eine weitere Möglichkeit die Echtheit des Zertifikats zu bestätigen, besteht darin ein ISO-Installations-Image von IBM herunterzuladen und die Zertifikats-Datei zu extrahieren und mit der installierten Version zu vergleichen. Wir haben dazu ein Installations-Image für AIX 7.3 TL1 von der IBM Webseite heruntergeladen und mit dem Kommando loopmount unter /mnt gemountet:

# loopmount -i /export/iso/AIX_v7.3_Install_7300-01-00-2245_DVD_1_of_2_122022_LCD8265102.iso -o "-V cdrfs -o ro" -m /mnt
#

Die Zertifikats-Datei /etc/security/certificates/certificate_73 gehört zum Fileset bos.rte.security:

$ lslpp -w /etc/security/certificates/certificate_73
  File                                        Fileset               Type
  ----------------------------------------------------------------------------
  /etc/security/certificates/certificate_73   bos.rte.security      File
$

Auf dem Installations-Medium ist diese in der Backup-Datei mit Namen bos unter /installp/ppc zu finden. Mit Hilfe des Komandos restore lässt sich die Zertifikations-Datei ganz einfach extrahieren:

# cd /tmp
# restore -xqvf /mnt/installp/ppc/bos ./usr/lpp/bos/inst_root/etc/security/certificates/certificate_73 
New volume on /mnt/installp/ppc/bos:
Cluster size is 51200 bytes (100 blocks).
The volume number is 1.
The backup date is: Thu Oct 27 18:24:24 CEST 2022
Files are backed up by name.
The user is BUILD.
x          846 ./usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
The total size is 846 bytes.
The number of restored files is 1.
#

Hinweis: Wir sind in das Verzeichnis /tmp gewechselt, da immer relativ zum aktuellen Verzeichnis extrahiert wird.

Jetzt lassen sich die installierte Zertifikats-Datei und die extrahierte Zertifikats-Datei aus dem Installations-Image z.B. mit md5sum vergleichen:

# md5sum /etc/security/certificates/certificate_73 /tmp/usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
03d7c9341b8fe0f2a8db551c08648de0  /etc/security/certificates/certificate_73
03d7c9341b8fe0f2a8db551c08648de0  /tmp/usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
#

Um ganz sicher zu gehen, kann man natürlich auch den direkten Vergleich, z.B. mit diff, durchführen:

# diff /etc/security/certificates/certificate_73 /tmp/usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
#

Die beiden Zertifikats-Dateien sind identisch. D.h. die installierte und aktuell verwendete Zertifikats-Datei stammt wirklich von IBM und ist echt.

Auf die gleiche Weise können weitere Zertifikate von IBM überprüft werden.