검색

8장. 커널 무결성 하위 시스템으로 보안 강화

download PDF

8.1. 커널 무결성 하위 시스템

무결성 하위 시스템은 시스템의 데이터 무결성을 유지 관리하는 커널의 일부입니다. 이 하위 시스템은 사용자가 특정 시스템 파일을 원치 않는 변경을 방지하여 시스템을 초기 상태로 유지하는 데 도움이 됩니다.

커널 무결성 하위 시스템은 다음 두 가지 주요 구성 요소로 구성됩니다.

IMA(Integrity Measurement Architecture)
  • 실행 또는 열 때마다 파일의 콘텐츠를 측정합니다. 사용자는 사용자 지정 정책을 적용하여 이 동작을 변경할 수 있습니다.
  • 측정된 값을 커널의 메모리 공간 내에 배치하여 시스템 사용자가 수정할 수 없습니다.
  • 로컬 및 원격 당사자가 측정 값을 확인할 수 있도록 합니다.
EVM(Extended Verification Module)
  • IMA 측정 및 SELinux 속성과 같은 시스템의 보안과 관련된 파일의 확장된 속성( xattr라고도 함)을 해당 값을 암호화하여 보호합니다.

IMA 및 EVM 모두 추가 기능을 가져오는 다양한 기능 확장 기능이 포함되어 있습니다. 예를 들어 다음과 같습니다.

IMA-Appraisal
  • 커널 메모리 내의 측정 파일에 이전에 저장된 값에 대해 현재 파일의 내용을 로컬에서 검증합니다. 이 확장에서는 현재 측정이 이전 측정과 일치하지 않는 경우 특정 파일을 통해 수행할 모든 작업을 금지합니다.
EVM 디지털 서명
  • 커널 키링에 저장된 암호화 키를 통해 디지털 서명을 사용할 수 있습니다. EVM Digital Signature는 콘텐츠 해시(security.ima)가 포함된 파일의 출처 및 무결성을 보장합니다.
참고

기능 확장 기능은 서로를 보완하지만 서로 독립적으로 구성하고 사용할 수 있습니다.

커널 무결성 하위 시스템은 신뢰할 수 있는 플랫폼 모듈(TPM)을 사용하여 시스템 보안을 더욱 강화할 수 있습니다. TPM은 중요한 암호화 기능에 대한 Trusted Computing Group(TCG)의 사양입니다. TPM은 일반적으로 플랫폼의 마더보드에 연결된 전용 하드웨어로 구현되며 하드웨어 칩의 보호 및 변조 영역에서 암호화 기능을 제공하여 소프트웨어 기반 공격을 방지합니다. TPM 기능 중 일부는 다음과 같습니다.

  • random-number 생성기
  • 암호화 키를 위한 Generator 및 secure storage
  • 해시 생성기
  • 원격 인증
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.