Ontwikkelaars van Microsoft integriteit kontrole meganisme (Integriteitsbeleid-afdwinging), geïmplementeer as 'n LSM-module (Linux Sekuriteitsmodule) vir die kern LinuxDie module laat jou toe om 'n algemene integriteitsbeleid vir die hele stelsel te definieer, wat spesifiseer watter bewerkings toegelaat word en hoe die egtheid van komponente geverifieer moet word. Deur IPE te gebruik, kan jy spesifiseer watter uitvoerbare lêers toegelaat word om te loop en te verseker dat hierdie lêers identies is aan die weergawe wat deur 'n betroubare bron verskaf word. Kode onder die MIT-lisensie.
IPE het ten doel om ten volle verifieerbare stelsels te skep waarvan die integriteit geverifieer word vanaf die selflaailaaier en kern tot die finale uitvoerbare, konfigurasie en selflaailêers. As 'n lêer verander of vervang word, kan IPE die bewerking blokkeer of die feit van 'n integriteitskending aanteken. Die voorgestelde meganisme kan gebruik word in firmware vir ingebedde toestelle, waarin alle sagteware en instellings spesiaal saamgestel en deur die eienaar verskaf word, byvoorbeeld, in Microsoft-datasentrums, word IPE in firewall-toerusting gebruik.
Van ander integriteit kontrolering stelsels soos , IPE word onderskei deur sy onafhanklikheid van metadata in die FS - alle eienskappe wat die toelaatbaarheid van bewerkings bepaal, word direk in die kern gestoor. Om die integriteit van lêerinhoud met behulp van kriptografiese hashes te verifieer, word meganismes wat reeds in die kern bestaan, gebruik
of .
In analogie met SELinux Twee bedryfsmodusse word ondersteun: "permissief" en "afdwing." In die eerste modus word slegs 'n logboek van probleme tydens kontroles gehou, wat byvoorbeeld gebruik kan word vir voorlopige toetsing van die omgewing.
Bron: opennet.ru
