第24章 カーネル整合性サブシステムによるセキュリティーの強化

カーネル整合性サブシステムを使用して、ファイルの改ざんを検出し、アクセスポリシーを適用することで、システムの整合性を保護します。IMA と EVM で設定され、アテステーションを通じて遠隔の関係者による検証のためにアクセスデータをログに記録します。

IMA と EVM の概要

Integrity Measurement Architecture (IMA)は、ファイルの内容の整合性を維持します。次の 3 つの機能を備えています。これらは IMA ポリシーを通じて有効にできます。

Extended Verification Module (EVM)は、security.ima や security.selinux などのシステムセキュリティーに関連する拡張属性を含むファイルメタデータを保護します。EVM は、これらのセキュリティー属性の参照ハッシュまたは HMAC を security.evm に保存し、それを使用してファイルメタデータが悪意を持って変更されたかどうかを検出します。

Secure Boot インテグレーション

Secure Boot は、ファームウェアからブートローダーへの信頼チェーンを確立してからカーネルに信頼します。信頼できるカーネルの整合性サブシステムにより、信頼できるユーザー空間コードのみが実行されるようにすることで、信頼のチェーンがユーザー空間に拡張されるようになりました。整合性サブシステムは単独で使用できますが、整合性サブシステムのいくつかの動作は、たとえば、セキュアブートに関連付けられています。