カーネル モジュールのロードとアンロードの保護
実行中のカーネルを拡張して、必要に応じて機能をロードおよびアンロードできるようにカーネル モジュールを設定する方法について説明します。
capamsc141
カーネル モジュール
は、実行中のカーネル拡張をロードできる、UNIX オペレーティング システムのコンポーネントです。不要になったらアンロードできます。カーネル モジュールにより柔軟性が追加され、必要に応じて機能をロードできます。ベースのカーネルで可能なすべての予想される機能を網羅するために必要となるメモリ リソースの浪費を回避します。Privileged Access Manager
では、カーネル モジュールの保護を有効および無効に設定できます。カーネル モジュールの保護を有効にすると、Privileged Access Manager
は、カーネル モジュールをロードおよびアンロードするシステム コールをインターセプトします。その後、要求されたアクセスを、データベースにある関連付けられたレコード、つまり KMODULE クラス内のレコードと照合します。カーネル モジュール レコードに対するアクセスが要求された場合、要求されたアクセスは「ロード」または「アンロード」のいずれかです。Linux 以外のすべてのシステムでは、KMODULE レコードの名前は、完全パスではなく、カーネル モジュール ファイルの名前と同じにする必要があります。これは、モジュールの名前がファイルの名前と同じであるためです。Linux では、KMODULE レコードの名前は、カーネル モジュールの名前のみと同じにする必要があるので、実際のファイル名と異なる場合もあります。Linux でファイル名を変更しても、Linux が使用するモジュール名は変更されず、KMODULE レコードは有効のままです。
カーネル モジュールのロードでのファイル パス チェックを有効にした状態で、要求されたアクセスがロードされると、
Privileged Access Manager
は以下の追加チェックを実行します。- KMODULE レコードの filepath プロパティに、有効な絶対ファイル パスのみが保持されていること。
- パス名 filepath 内のファイルに、KMODULE レコード名と一致するモジュールがあること。
- カーネル モジュールが KMODULE プロパティ(Linux 以外のシステムでは filepath、Linux システムでは signature)と一致すること。Privileged Access Managerは、Linux システム上のカーネル モジュール ファイルに対して一意のシグネチャを生成し、このシグネチャをカーネル モジュール レコードの signature プロパティの値として挿入します。Privileged Access Managerは、アクセスのたびにシグネチャをチェックします。シグネチャを手動で入力する必要はありません。Privileged Access Managerが自動的にシグネチャを算出して挿入します。ただし、seretrust ユーティリティを使用してこれを実行することもできます。目次を使用して、このセクションのトピックにアクセスしてください。