セキュリティ
UEK R7には、次のセキュリティ機能が導入されています:
新しい.machineカーネル・キーリングが導入されました
.machine
カーネル・キーリングは、UEK R7で導入されています。 このキーリングは、非対称キーを使用するすべての操作でカーネル・レベルの信頼アンカーとして使用できます。 .machine
キーリングは、.builtin_trusted_keys
および.secondary_trusted_keys
キーリングと同じレベルの信頼性をカーネル内で持っています。 組込みキーおよびセカンダリ・キーリングと同様に、.machine
キーリングのキーを使用して次のことを実行できます:
-
カーネル・モジュールのシグネチャ検証を実行します。
-
.secondary_trusted_keys
キーリングにキーを追加します。 -
IMA評価キーのCAとして機能します。
.machine
キーリングに含まれるキーは、ルートCA証明書である必要があります。 ルートCA証明書として修飾するには、次の2つの要件を満たす必要があります:
-
X.509証明書は自己署名されます。
-
X.509証明書には、
basicConstraints=critical,CA:TRUE
を含むX509v3拡張が含まれている必要があります
また、keyUsage
フィールドはkeyCertSign
で設定することをお薦めします。
以前のUEKリリースとは異なり、UEK R7の.platform
キーリングに含まれるキーは、kexec
にのみ使用できます。 また、.platform
キーを他の目的で使用することはできません。一方、以前のUEKリリースでは、カーネル・モジュールのシグネチャ検証に.platform
キーリングを使用できますが、他のカーネル・キー操作には使用できません。
.machine
キーリングにキーを追加する最も簡単な方法は、mokutilユーティリティを使用してキーを登録することです。 このメソッドでは、最初にX.509キー・ペアを作成する必要があります。
IntelアーキテクチャでSGXが有効
Unbreakable Enterprise Kernelリリース7では、第3世代のIntel Xeon Scalableプロセッサ(codename Ice Lake)で、Intel Software Guard Extensions (SGX)テクノロジが有効になります。
アプリケーションは、このハードウェア機能を使用して、ユーザー・コードとデータの保護リージョン(enclaves)を移入できます。 アクティブにすると、新しいハードウェアはコードとデータを外部のアクセスと変更から保護します。 エンクレーブは、シークレットを格納し、DRMソフトウェアなどのそれらのシークレットでデータを処理する場所を提供します。 SGXは、多くの既知のサイバー・セキュリティの脅威に対する保護を提供するのに役立つため、セキュア・エンクレーブを使用してサーバーの攻撃対象領域を減らし、より高い権限で実行されているプロセスから情報を保護します。