カーネル モジュールは UNIX オペレーティング システムのコンポーネントです。実行中のカーネルにロードすることで拡張を行い、不要になったときにはアンロードすることができます。 これにより、ベース カーネルの通常機能全般をカバーするうえで必要なメモリ リソースを無駄にせず、必要に応じて機能をロードするという柔軟性が実現します。
CA ControlMinder では、カーネル モジュールの保護を有効および無効に設定できます。 カーネル モジュールの保護を有効にすると、CA ControlMinder は、カーネル モジュールをロードおよびアンロードするシステム コールをインターセプトし、要求されたアクセスを、データベースにある関連付けられたレコード、つまり KMODULE クラス内のレコードと照合します。 カーネル モジュール レコードに対するアクセスが要求された場合、CA ControlMinder では、要求されたアクセスは「ロード」または「アンロード」のいずれかです。
Linux 以外のすべてのシステムでは、KMODULE レコードの名前は(完全パスではなく)カーネル モジュール ファイルの名前と同じにする必要があります。 これは、モジュールの名前がファイルの名前と同じであるためです。 Linux では、KMODULE レコードの名前は、カーネル モジュールの名前のみと同じにする必要があるので、実際のファイル名と異なる場合もあります。 Linux でファイル名を変更しても、Linux が使用するモジュール名は変更されず、KMODULE レコードは有効のままです。
カーネル モジュールのロードでのファイル パス チェックを有効にした状態で、要求されたアクセスがロードされると、CA ControlMinder は、以下の追加チェックを実行します。
注: CA ControlMinder は、Linux システム上のカーネル モジュール ファイルに対して一意のシグネチャを生成し、このシグネチャをカーネル モジュール レコードの signature プロパティの値として挿入します。 CA ControlMinder は、アクセスのたびにシグネチャをチェックします。 シグネチャを手動で入力する必要はありません。CA ControlMinder が自動的にシグネチャを算出して挿入します。 ただし、seretrust ユーティリティを使用してこれを実行することもできます。
|
Copyright © 2013 CA.
All rights reserved.
|
|