Vývojáři z Microsoftu mechanismus kontroly integrity (Vynucování zásad integrity), implementováno jako modul LSM (Linux Bezpečnostní modul) pro jádro LinuxModul umožňuje definovat obecnou politiku integrity pro celý systém, která specifikuje, které operace jsou povoleny a jak má být ověřována pravost komponent. Pomocí IPE můžete určit, které spustitelné soubory se mohou spustit, a zajistit, aby tyto soubory byly identické s verzí poskytnutou důvěryhodným zdrojem. Kód pod licencí MIT.
IPE si klade za cíl vytvořit plně ověřitelné systémy, jejichž integrita je ověřována od zavaděče a jádra až po konečné spustitelné soubory, konfigurační a zaváděcí soubory. Pokud je soubor změněn nebo nahrazen, IPE může zablokovat operaci nebo zaznamenat fakt porušení integrity. Navržený mechanismus lze použít ve firmwaru pro embedded zařízení, ve kterých je veškerý software a nastavení speciálně sestaveno a poskytnuto vlastníkem, například v datových centrech Microsoftu se IPE používá ve vybavení firewallů.
Z jiných systémů kontroly integrity jako např , IPE se vyznačuje nezávislostí na metadatech ve FS - všechny vlastnosti určující přípustnost operací jsou uloženy přímo v jádře. K ověření integrity obsahu souboru pomocí kryptografických hashů se používají mechanismy již existující v jádře
nebo .
Analogicky s SELinux Jsou podporovány dva provozní režimy: „permisivní“ a „vynucovací“. První režim zaznamenává pouze problémy zjištěné během kontrol, což lze použít například pro předběžné testování prostředí.
Zdroj: opennet.ru
