Menu Close

第 21 章 使用内核完整性子系统提高安全性

您可以使用内核完整性(kernel integrity)子系统组件来提高系统保护。以下小节介绍了相关组件,并提供了有关其配置的指导。

注意

相关的加密签名的功能仅适用于红帽使用。这是因为,只有 Red Hat 签名密钥的证书存在于内核密钥环中。但是,用户可以使用任何哈希值功能完成验证机制无法成功完成。

21.1. 内核完整性子系统

integrity 子系统是负责维护整个系统数据完整性的内核的一部分。这个子系统有助于保持特定系统的状态与构建时相同,从而防止不良地修改特定的系统文件。

内核完整性子系统由两个主要组件组成:

完整性测量架构 (IMA)
  • 在执行或通过加密散列或使用加密密钥签名时,会测量文件内容。密钥存储在内核密钥环子系统中。
  • 将测量的值放置在内核的内存空间内,从而防止系统用户进行任何修改。
  • 允许本地和远程用户验证测量值。
  • 根据以前存储在内核内存中的测量列表中的值提供当前文件的内容的本地验证。此扩展 forbids 在当前和之前的测量结果不匹配时对特定文件执行任何操作。
扩展验证模块 (EVM)
  • 保护与系统安全性相关的文件的扩展属性(也称为 xattr),如 IMA 测量和 SELinux 属性。组件加密哈希相应值或使用加密密钥进行签名。密钥存储在内核密钥环子系统中。

内核完整性子系统可以利用受信任的平台模块 (TPM) 来更加强化系统安全性。TPM 是受信任的计算组 (TCG) 中有关重要加密功能的规范。TPMS 通常作为专用硬件构建,附加到平台的主板,并通过为硬件芯片受保护且受篡改区域提供加密功能来防止基于软件的攻击。其中一些 TPM 特性包括:

  • 随机数生成器
  • 用于加密密钥的生成器和安全存储
  • 哈希生成器
  • 远程测试