|
|
|
カーネル モジュールは UNIX オペレーティング システムのコンポーネントです。実行中のカーネルにロードすることで拡張を行い、不要になったときにはアンロードすることができます。 これにより、ベース カーネルの通常機能全般をカバーするうえで必要なメモリ リソースを無駄にせず、必要に応じて機能をロードするという柔軟性が実現します。
CA Access Control では、カーネル モジュールの保護を有効および無効に設定できます。 カーネル モジュールの保護を有効にすると、CA Access Control は、カーネル モジュールをロードおよびアンロードするシステム コールをインターセプトし、要求されたアクセスを、データベースにある関連付けられたレコード、つまり KMODULE クラス内のレコードと照合します。 カーネル モジュール レコードに対するアクセスが要求された場合、CA Access Control では、要求されたアクセスは「ロード」または「アンロード」のいずれかです。
Linux 以外のすべてのシステムでは、KMODULE レコードの名前は(完全パスではなく)カーネル モジュール ファイルの名前と同じにする必要があります。 これは、モジュールの名前がファイルの名前と同じであるためです。 Linux では、KMODULE レコードの名前は、カーネル モジュールの名前のみと同じにする必要があるので、実際のファイル名と異なる場合もあります。 Linux でファイル名を変更しても、Linux が使用するモジュール名は変更されず、KMODULE レコードは有効のままです。
カーネル モジュールのロードでのファイル パス チェックを有効にした状態で、要求されたアクセスがロードされると、CA Access Control は、以下の追加チェックを実行します。
注: CA Access Control は、Linux システム上のカーネル モジュール ファイルに対して一意のシグネチャを生成し、このシグネチャをカーネル モジュール レコードの signature プロパティの値として挿入します。 CA Access Control は、アクセスのたびにシグネチャをチェックします。 シグネチャを手動で入力する必要はありません。CA Access Control が自動的にシグネチャを算出して挿入します。 ただし、seretrust ユーティリティを使用してこれを実行することもできます。
| Copyright © 2012 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |