Societas disceptandi de Linux kernel elit mailing indicem codicem pro LSM moduli cum exsequendo IPE (Integrity Policy Enforcement) mechanismum, qui exsistentiam rationum potestatem accessum mandatorium dilatat. Loco ligandi ad pittacia et semitas in IPE, consilium admittendi vel negandi operationem innititur in permanentibus proprietatibus systematis componentis in quo operatio exercetur. Modulus te permittit ut integritatem generalem consilii totius systematis definias, indicans quibus operationibus liceat et quomodo partium authenticitas verificetur.
IPE intendit creare systemata verificabilia plene, quorum integritas verificatur ex oneratus et nucleo ad ultimum executables, configurationes et fasciculos imaginum. Exempli gratia, utens IPE, specificare potes quae files exsecutabiles currere permittuntur, ratione habita obsequii cum relatione versionis utens hashes cryptographicas, quae ratio dm-verity providetur. Si fasciculus mutetur vel restituitur, IPE operationem impedire potest vel factum violationis integritatis loga.
Proposita mechanismus in firmware pro machinis immersis adhiberi potest, in quo omnes programmata et occasus specialiter congregantur et a domino providentur, exempli gratia, in Microsoft data centra, IPE in instrumento firewall. Quae IPE distinguit ab aliis systematibus inhibitis integritate, ut IMA, est independentia a metadata in FS - omnes proprietates, quae permissibilitatem operationum determinant, directe in nucleo reconduntur.
Regulae specificatae sunt in textu forma utendi valorem clausurae. Praecipuae sunt clavis "op", quae definit operationem cui regula applicatur (exempli gratia, op=EXSECUTIO operari conanti exequi), et "actio" clavis, quae actionem definit (exempli gratia, " actio=negare pro consequat). Regulae tenentur proprietatibus subsystematibus externis instructis sicut dm-veritas et fs-veritas.
Exempli causa, regulas op=EXSECUTO boot_verified=actionem VERAm ββ= LICET op=EXSECUTIO dmverity_signature=FALSUM ACTIONEM=DENIO op=EXSECUTO fsverity_digest=sha256:401fceβ¦0dec146938 actionem=negare tantum permittere booting ex verificata partitione, prohibens imaginum missionem a partitionibus quae subscriptiones in dm-veritate non habent, et etiam selective prohibent exsecutionem tabellae cum Nullam β401fce...0dec146938β.
Praecepta initialis regulae tabernus definitur utens cum SECURITY_IPE_BOOT_POLICY occasu et inclusa ut pars nuclei aedificandi, et aliae regulae per tabella /sys/kernel/security/ipe/new_policy necessariae sunt additae. Regulae transmissae encryptae sunt utentes libellum definitum in SYSTEM_TRUSTED_KEYRING.
De systematibus generalibus ad propositum adhibendum proponitur IPE in compositione cum mechanismo DIGLIM ab Huawei evoluta. DIGLIM utens eBPF impletur et permittit te facilem integritatem moderari in ambitu singulorum imaginum in distributionibus regularibus non exigendis ut redesignetur (praestat ut variatio Booz Securis quae in gradu applicationis operatur). Essentia DIGLIM piscinam verificationis pro lima et metadata retinet et aditum ad files exsecutabile solum praebet si eius Nullam praesens in piscina est. Elenchus hashes ex RPM sarcina procurator vel manually utentis generatus haberi potest.
Source: opennet.ru