カーネル モジュールの保護

カーネル モジュールのロードとアンロードを保護することで、オペレーティング システムを保護することができます。
cminder140jp
カーネル モジュールのロードとアンロードを保護することで、オペレーティング システムを保護することができます。
カーネル モジュールを保護するには、以下の手順に従います。
カーネル モジュールの保護が有効になっていることを確認します。
Privileged Access Manager Server Control
で KMODULE レコードを作成します。
    1. カーネル モジュールを作成するには、以下を定義します。
      • カーネル モジュールの名前
        Linux 以外のすべてのシステムでは、KMODULE レコードの名前は(完全パスではなく)カーネル モジュール ファイルの名前と同じにする必要があります。これは、モジュールの名前がファイルの名前と同じであるためです。Linux では、KMODULE レコードの名前は、カーネル モジュールの名前のみと同じにする必要があるので、実際のファイル名と異なる場合もあります。
      • レコードの所有者(デフォルトでは、モジュールを作成しているユーザ)
      • (オプション)カーネル モジュール ファイルの絶対ファイル パス、またはモジュールに複数のバージョンがある場合は、ファイル パスのリスト
注:
HP システムおよび Solaris システムでは、特別なカーネル モジュール _ALL_MODULES を定義して、すべてのカーネル モジュールのアンロードを保護できます。
  1. モジュールのロードおよびアンロードを実行する権限を付与するユーザまたはグループを定義します。
例: selang コマンドを使用してカーネル モジュールを保護する
以下の selang コマンドは、
Privileged Access Manager Server Control
に対してカーネル モジュール serial.o を定義して認証し、エンタープライズ ユーザ kadmin にこのモジュールのロードおよびアンロードを実行する権限を付与します。
newres kmodule serial.o owner(kadmin) defaccess(none) \ filepath(/lib/modules/2.2.19/serial.o:/lib/modules/2.2.20/serial.o) authorize kmodule serial.o access(load, unload) xuid(kadmin)