保护内核模块

端点管理指南：用于 UNIX › 保护文件和程序 › 内核模块加载和下载保护 › 保护内核模块

保护内核模块

您可以保护内核模块的加载和卸载，这样有助于保护操作系统。

保护内核模块

确保您已启用内核模块保护。
在 CA ControlMinder 中创建 KMODULE 记录。
要创建内核模块，您需要定义：
- 内核模块的名称
  在所有的非 Linux 系统上，KMODULE 记录的名称必须匹配内核模块文件的名称（而不是完整路径）。这是因为模块的名称与文件的名称相同。在 Linux 上，KMODULE 记录的名称仅需要匹配内核模块的名称，后者可能不同于实际的文件名。
- 记录的所有者（默认为创建模块的用户）
- （可选）内核模块文件的绝对文件路径，或文件路径列表（如果有多个模块版本）。
注意：在 HP 系统和 Solaris 系统上，您可以定义专门的内核模块 _ALL_MODULES 来保护所有内核模块的卸载。
定义有权限加载和卸载模块的用户或组。

示例：使用 selang 命令保护内核模块

下列 selang 命令将内核模块 serial.o 定义并授权到 CA ControlMinder，并授予企业用户 kadmin 加载和下载该内核模块的权限：

newres kmodule serial.o owner(kadmin) defaccess(none) \
filepath(/lib/modules/2.2.19/serial.o:/lib/modules/2.2.20/serial.o)
authorize kmodule serial.o access(load, unload) xuid(kadmin)