カーネル モジュールの保護
カーネル モジュールのロードとアンロードを保護することで、オペレーティング システムを保護することができます。
cminder12902jp
カーネル モジュールのロードとアンロードを保護することで、オペレーティング システムを保護することができます。
カーネル モジュールを保護するには、以下の手順に従います。
- カーネル モジュールの保護が有効になっていることを確認します。
- CA ControlMinder で KMODULE レコードを作成します。カーネル モジュールを作成するには、以下を定義する必要があります。
- カーネル モジュールの名前Linux 以外のすべてのシステムでは、KMODULE レコードの名前は(完全パスではなく)カーネル モジュール ファイルの名前と同じにする必要があります。 これは、モジュールの名前がファイルの名前と同じであるためです。 Linux では、KMODULE レコードの名前は、カーネル モジュールの名前のみと同じにする必要があるので、実際のファイル名と異なる場合もあります。
- レコードの所有者(デフォルトでは、モジュールを作成しているユーザ)
- (オプション)カーネル モジュール ファイルの絶対ファイル パス、またはモジュールに複数のバージョンがある場合は、ファイル パスのリスト
注:HP システムおよび Solaris システムでは、特別なカーネル モジュール _ALL_MODULES を定義して、すべてのカーネル モジュールのアンロードを保護できます。 - モジュールのロードおよびアンロードを実行する権限を付与するユーザまたはグループを定義します。
例: selang コマンドを使用してカーネル モジュールを保護する
以下の selang コマンドは、CA ControlMinder に対してカーネル モジュール serial.o を定義して認証し、エンタープライズ ユーザ kadmin にこのモジュールのロードおよびアンロードを実行する権限を付与します。
newres kmodule serial.o owner(kadmin) defaccess(none) \ filepath(/lib/modules/2.2.19/serial.o:/lib/modules/2.2.20/serial.o) authorize kmodule serial.o access(load, unload) xuid(kadmin)