第 23 章使用内核完整性子系统提高安全性

您可以使用内核完整性子系统的组件来提高系统安全性。了解有关相关组件及其配置的更多信息。

23.1. 内核完整性子系统
复制链接

完整性子系统通过检测文件篡改并根据加载的策略拒绝访问来保护系统的完整性。它还收集访问日志，以便远程方可以通过远程测试来验证系统的完整性。内核完整性子系统包括 Integrity 测量架构(IMA)和扩展验证模块(EVM)。

完整性测量架构 (IMA)

IMA 维护文件内容的完整性。它包括您可以通过 IMA 策略启用的三个功能：

IMA-Measurement ：收集文件内容散列或签名，并将测量保存在内核中。如果有 TPM 可用，每个测量都会扩展 TPM PCR，它启用了认证引用的远程测试。
IMA-Appraisal: 通过将计算的文件哈希与已知良好的参考值进行比较，或者验证存储在 security.ima 属性中的签名来验证文件的完整性。如果验证失败，系统会拒绝访问。
IMA-Audit ：将计算的文件内容散列或签名存储在系统审计日志中。

扩展验证模块 (EVM)

EVM 保护文件元数据，包括与系统安全性相关的扩展属性，如 security.ima 和 security.selinux。EVM 在 security.evm 中存储这些安全属性的引用哈希或 HMAC，并使用它来检测文件元数据是否已被恶意更改。