第 21 章 使用内核完整性子系统提高安全性
您可以使用内核完整性子系统的组件来提高系统的保护。了解有关相关组件及其配置的更多信息。
注意
您只能对红帽产品使用具有加密签名的功能,因为内核密钥环系统只包括红帽签名密钥的证书。使用其他哈希功能会导致不完整的篡改。
21.1. 内核完整性子系统
完整性子系统是保持系统数据整体完整性的内核的一部分。此子系统有助于保持系统的状态与构建时相同。通过使用此子系统,您可以防止对特定系统文件的不必要的修改。
内核完整性子系统由两个主要组件组成:
- 完整性测量架构 (IMA)
- 每当执行或通过加密哈希或使用加密密钥签名时,IMA 都会测量文件内容。密钥存储在内核密钥环子系统中。
- IMA 将测量的值放在内核的内存空间中。这可防止系统用户修改测量的值。
- IMA 允许本地和远程方验证测量的值。
- IMA 根据之前存储在内核内存中测量列表中的值来提供当前文件内容的本地验证。此扩展禁止在当前和之前的测量结果不匹配时对特定文件执行任何操作。
- 扩展验证模块 (EVM)
- EVM 保护与系统安全性相关的文件的扩展属性(也称为 xattr),如 IMA 测量和 SELinux 属性。EVM 使用加密密钥对其相应的值进行加密哈希,或对它们进行签名。密钥存储在内核密钥环子系统中。
内核完整性子系统可以使用受信任的平台模块(TPM)来进一步强化系统安全性。
TPM 是一个带有集成加密密钥的硬件、固件或虚拟组件,它根据用于加密功能的受信任的计算组(TCG)的 TPM 规范而构建。TPM 通常构建为附加到平台的主板的专用硬件。通过提供来自硬件芯片受保护且防篡改区的加密功能,TPM 会免于基于软件的攻击。TPMs 提供以下功能:
- 随机数生成器
- 用于加密密钥的生成器和安全存储
- 哈希生成器
- 远程测试
