第23章 カーネル整合性サブシステムによるセキュリティーの強化

整合性サブシステムは、ファイルの改ざんを検出し、読み込まれたポリシーに従ってアクセスを拒否することで、システムの整合性を保護します。また、アクセスログも収集するため、リモート側でリモートアテステーションを通じてシステムの整合性を検証することもできます。カーネル整合性サブシステムには、Integrity Measurement Architecture (IMA) と Extended Verification Module (EVM) が含まれています。

IMA と EVM の概要

Integrity Measurement Architecture (IMA)は、ファイルの内容の整合性を維持します。次の 3 つの機能を備えています。これらは IMA ポリシーを通じて有効にできます。

Extended Verification Module (EVM)は、security.ima や security.selinux などのシステムセキュリティーに関連する拡張属性を含むファイルメタデータを保護します。EVM は、これらのセキュリティー属性の参照ハッシュまたは HMAC を security.evm に保存し、それを使用してファイルメタデータが悪意を持って変更されたかどうかを検出します。

Secure Boot インテグレーション

Secure Boot は、ファームウェアからブートローダーへの信頼チェーンを確立してからカーネルに信頼します。信頼できるカーネルの整合性サブシステムにより、信頼できるユーザー空間コードのみが実行されるようにすることで、信頼のチェーンがユーザー空間に拡張されるようになりました。整合性サブシステムは単独で使用できますが、整合性サブシステムのいくつかの動作は、たとえば、セキュアブートに関連付けられています。