Linuxブートプロセス中に使用されるファイルのリストを取得したいと思います。私たちはRHEL 6.4に基づいて保護されたエンタープライズシステムを開発しています。指定されたファイルの整合性は特別なハードウェアでチェックされます。
したがって、問題はこれらのファイルのリストを取得する方法です(さまざまなブートサービスとデーモンの依存関係が解決されます)。
ベストアンサー1
設定監査サブシステムの通話を録音しますopen。
auditctl -a exit,always -S open,openat,creat,execve
/sbin/initプライマリシステムが起動した場合(実際のルートファイルシステムで)、ルールが適用されるようにinitramfsでこれを行います。
ご提案いただいた内容は、一般的な設定に対する実際のセキュリティにつながりません。これらのファイルを別のバージョンに置き換えることができる人は誰でもrootアクセス権を持ち、ロギングシステムに誤ったデータを提供する可能性があります。
ブートメディアが外部から保護されている場合、ルートはそれを変更することはできません(たとえば、読み取り専用またはセキュアブートローダの排他的な制御を受けているため)、カーネルモジュールのロードがブロックされている場合、正しく実行されると測定ファイルは信頼できます。ただし、これらのアクションで実行する操作が参照値と比較するだけである場合、これは整合性保護ルートファイルシステムを使用するよりも難しくなります(たとえば、実際にdmcryptでTrusted Grubをブートローダとして使用する)、効率が悪くなります。