Fejlesztők a Microsofttól integritás-ellenőrző mechanizmus (Integrity Policy Enforcement), LSM modulként megvalósítva (Linux biztonsági modul) a kernelhez LinuxA modul lehetővé teszi egy általános integritási szabályzat meghatározását a teljes rendszerre vonatkozóan, meghatározva, hogy mely műveletek engedélyezettek, és hogyan kell ellenőrizni az összetevők hitelességét. Az IPE használatával meghatározhatja, hogy mely végrehajtható fájlok futtathatók, és biztosíthatja, hogy ezek a fájlok megegyezzenek a megbízható forrás által biztosított verzióval. Kód az MIT engedélye alapján.
Az IPE célja olyan teljesen ellenőrizhető rendszerek létrehozása, amelyek integritását a rendszertöltőtől és a kerneltől a végső végrehajtható fájlokig, konfigurációs és rendszerindító fájlokig ellenőrzik. Ha egy fájlt megváltoztatnak vagy lecserélnek, az IPE blokkolhatja a műveletet, vagy naplózhatja az integritás megsértésének tényét. A javasolt mechanizmus használható a beágyazott eszközök firmware-ében, amelyben az összes szoftvert és beállítást a tulajdonos speciálisan összeállítja és biztosítja, például a Microsoft adatközpontjaiban az IPE-t tűzfalberendezésekben használják.
Más integritás-ellenőrző rendszerektől, mint pl , az IPE-t az FS metaadatoktól való függetlensége különbözteti meg – minden olyan tulajdonság, amely meghatározza a műveletek megengedettségét, közvetlenül a kernelben tárolódik. A fájltartalom sértetlenségének kriptográfiai kivonatokkal történő ellenőrzéséhez a rendszermagban már meglévő mechanizmusokat használnak
vagy .
Az SE-hez hasonló módonLinux Két működési mód támogatott: az „engedélyező” és az „érvényesítő”. Az első mód csak az ellenőrzések során felmerült problémákat naplózza, amelyek például a környezet előzetes teszteléséhez használhatók.
Forrás: opennet.ru
