장치 드라이버 보안

특정 커널 드라이버에서 선택한 구성 매개변수를 관리하기 위한 ndd(1M) 명령을 사용하여 드라이버 매개변수를 설정하려면 SYS_NET_CONFIG 특권을 상속해야 합니다.

kstat(3K) 명령을 사용하면 드라이버가 수신한 인터럽트 수 또는 수행된 NFS 작업 수와 같은 커널 드라이버 통계에 액세스할 수 있습니다. 이러한 종류의 정보는 불분명하고 모듈화가 어려우며 기록된 작업의 수행 속도에 따라 영향을 받기 때문에 잠재적 위장 채널을 엽니다. 이러한 상황이 허용되지 않는 경우에는 설치 시점에서 /dev/kstat에 대한 민감도 레이블을 ADMIN_LOW에서 ADMIN_HIGH로 변경하고, /dev/kstat를 읽거나 쓰는 프로그램들을 ADMIN_HIGH에서 실행하거나 file_mac_read/file_mac_write 특권을 사용하여 실행해야 합니다.

/dev/kstat 민감도 레이블을 변경하려면 /etc/security/tsol/minor_perm.adjunct 파일을 편집하고 kstat을 ADMIN_HIGH로 설정하는 행의 주석 처리를 취소해야 합니다. 이 행은 "#kstat:kstat 0x7777777 ..."과 같이 시작합니다.

/dev/kstat에 액세스하여 ADMIN_HIGH에서 실행하거나 특권을 사용하여 실행해야 하는 명령은 다음과 같습니다. netstat, in.rwhod, cachefslog, cachefsstat, nfsstat, fuser, iostat, mpstat, prtdiag, psrinfo, rpc.rstat, sad, sendmail, vmstat, w 및 lux