Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

第30章 カーネル整合性サブシステムによるセキュリティーの強化

カーネル整合性サブシステムのコンポーネントを利用することにより、システムの保護を強化できます。以下のセクションでは、関連するコンポーネントを紹介し、その設定に関するガイダンスを提供します。

注記

カーネルキーリングシステムには Red Hat 署名キーの証明書のみが含まれるため、暗号化署名のある機能を使用できます。他のハッシュ機能を使用すると、改ざん防止が不完全になります。

30.1. カーネル整合性サブシステム

整合性サブシステムは、全体的なシステムデータの整合性を維持するロールを担うカーネルの一部です。このサブシステムは、特定のシステムの状態を構築時と同じに保つのに役立ち、特定のシステムファイルに対する望ましくない変更を防ぎます。

カーネル整合性サブシステムは、2 つの主要なコンポーネントで設定されています。

Integrity Measurement Architecture (IMA)
  • ファイルが実行されるか開かれるたびに、暗号学的にハッシュするか、暗号化キーで署名することにより、ファイルの内容を測定します。キーは、カーネルキーリングサブシステムに格納されます。
  • 測定された値をカーネルのメモリー領域に置くと、システムのユーザーが変更を加えることができなくなります。
  • ローカルおよびリモートのユーザーが測定値を検証できるようにします。
  • カーネルメモリー内の測定リストに以前に格納された値に対して、ファイルの現在の内容をローカルで検証します。この拡張機能は、現在の措置と以前の措置が一致しない場合に、特定のファイルに対して操作を実行することを禁止します。
Extended Verification Module (EVM)
  • IMA 測定値や SELinux 属性など、システムセキュリティーに関連するファイルの拡張属性 (xattr とも呼ばれます) を保護します。コンポーネントは、対応する値を暗号的にハッシュするか、暗号鍵で署名します。キーは、カーネルキーリングサブシステムに格納されます。

カーネル整合性サブシステムは、TPM (Trusted Platform Module) を利用して、システムのセキュリティーをさらに強化できます。TPM は、重要な暗号化機能についての TNC (Trusted Computing Group) による仕様です。TPM は通常、プラットフォームのマザーボードに接続されている専用のハードウェアとして構築され、ハードウェアチップの改ざん防止の保護領域から暗号化機能を提供することでソフトウェアベースの攻撃を防ぎます。TPM 機能には、以下の機能が含まれます。

  • 乱数ジェネレーター
  • 暗号化キーのジェネレーターと安全なストレージ
  • ハッシュジェネレーター
  • リモート認証