第29章 カーネル整合性サブシステムによるセキュリティーの強化

整合性サブシステムは、ファイルの改ざんを検出し、読み込まれたポリシーに従ってアクセスを拒否することで、システムの整合性を保護します。また、アクセスログも収集するため、リモート側でリモートアテステーションを通じてシステムの整合性を検証することもできます。カーネル整合性サブシステムには、Integrity Measurement Architecture (IMA) と Extended Verification Module (EVM) が含まれています。

IMA と EVM の概要

整合性測定アーキテクチャー (IMA) は、ファイルコンテンツの整合性を維持します。次の 3 つの機能を備えています。これらは IMA ポリシーを通じて有効にできます。

拡張検証モジュール (EVM) は、security.ima や security.selinux などのシステムセキュリティーに関連する拡張属性を含むファイルメタデータを保護します。EVM は、これらのセキュリティー属性の参照ハッシュまたは HMAC を security.evm に保存し、それを使用してファイルメタデータが悪意を持って変更されたかどうかを検出します。