UNIX エンドポイント管理ガイド › ファイルおよびプログラムの保護 › カーネル モジュールのロードとアンロードの保護 › カーネル モジュールの保護

カーネル モジュールの保護

カーネル モジュールのロードとアンロードを保護することで、オペレーティング システムを保護することができます。

カーネル モジュールを保護するには、以下の手順に従います。

1. カーネル モジュールの保護が有効になっていることを確認します。
2. CA ControlMinder に KMODULE レコードを作成します。

   カーネル モジュールを作成するには、以下を定義する必要があります。

   • カーネル モジュールの名前

     Linux 以外のすべてのシステムでは、KMODULE レコードの名前は（完全パスではなく）カーネル モジュール ファイルの名前と同じにする必要があります。 これは、モジュールの名前がファイルの名前と同じであるためです。 Linux では、KMODULE レコードの名前は、カーネル モジュールの名前のみと同じにする必要があるので、実際のファイル名と異なる場合もあります。

   • レコードの所有者（デフォルトでは、モジュールを作成しているユーザ）
   • （オプション）カーネル モジュール ファイルの絶対ファイル パス、またはモジュールに複数のバージョンがある場合は、ファイル パスのリスト

     注： HP システムおよび Solaris システムでは、特別なカーネル モジュール _ALL_MODULES を定義して、すべてのカーネル モジュールのアンロードを保護できます。

3. モジュールのロードおよびアンロードを実行する権限を付与するユーザまたはグループを定義します。

例： selang コマンドを使用してカーネル モジュールを保護する

以下の selang コマンドは、CA ControlMinder に対してカーネル モジュール serial.o を定義して認証し、エンタープライズ ユーザ kadmin にこのモジュールのロードおよびアンロードを実行する権限を付与します。

newres kmodule serial.o owner(kadmin) defaccess(none) ¥
filepath(/lib/modules/2.2.19/serial.o:/lib/modules/2.2.20/serial.o)
authorize kmodule serial.o access(load, unload) xuid(kadmin)