第8章 カーネル整合性サブシステムによるセキュリティーの強化

整合性サブシステムは、ファイルの改ざんを検出し、ロードされたポリシーに従ってアクセスを拒否することで、システムの整合性を保護します。また、アクセスログも収集されるため、リモート側がリモートアテステーションを通じてシステムの整合性を検証することもできます。カーネル整合性サブシステムには、整合性測定アーキテクチャー (IMA) と拡張検証モジュール (EVM) が含まれます。

IMA と EVM の概要

整合性測定アーキテクチャー (IMA) は、ファイルコンテンツの整合性を維持します。これには、IMA ポリシーを通じて有効にできる 3 つの機能が含まれています。

拡張検証モジュール (EVM) は、security.ima や security.selinux などのシステムセキュリティーに関連する拡張属性を含むファイルメタデータを保護します。EVM は、これらのセキュリティー属性の参照ハッシュまたは HMAC を security.evm に保存し、それを使用してファイルメタデータが悪意を持って変更されたかどうかを検出します。