Cet article décrit le comportement des modules de noyau avec ENSLTP.
Noms des modules du noyau :
ENSLTP est fourni avec deux modules de noyau. Les modules sont nommés
fileaccess_mod_<version>.ko et
mfeaack_<version>.ko .
Chargement des modules de noyau :
Lorsque ENSLTP est configuré avec l’analyse à l’accès activée, le produit est inséré
fileaccess_ mod_<version>.ko dans la mémoire. Lorsque ENSLTP est configuré avec la protection de l’accès activée, le produit est inséré
mfeaack_<version>.ko en mémoire.
Déchargement des modules de noyau :
Les modules
fileaccess_ mod_<version>.ko et
mfeaack_<version>.ko sont déchargés de la mémoire lorsque les fonctionnalités d’analyse à l’accès et de protection de l’accès sont désactivées respectivement. Les modules disposent de fonctionnalités permettant de détecter si des modules de noyau tiers ont été corrigés en haut de ENSLTP. Cette fonctionnalité limite le déchargement des modules de noyau ENSLTP, si un patch de module de noyau tiers est détecté au-dessus de ENSLTP.
Imaginez un module
sample_module.ko du noyau tiers qui nécessite un patch d’appel système de
NR_open . Le comportement suivant se produit.
Scénario de déchargement du module 1 :
Les modules sont chargés dans l’ordre suivant :
mfeaack_<version>
.ko ,
fileaccess_ mod_<version>
.ko et
sample_module.ko .
- La protection de l’accès est désactivée. mfeaack_<version>.ko est déchargé.
- L’analyse à l’accès (OAS) est désactivée. fileaccess_ mod_<version>.ko n’est pas déchargé.
Scénario de déchargement du module 2 :
Les modules sont chargés dans l’ordre suivant :
mfeaack_<version>
.ko ,
sample_module.ko et
fileaccess_ mod_<version>
.ko .
- La protection de l’accès est désactivée. mfeaack_<version>.ko n’est pas déchargé.
- L’OAS est désactivé. fileaccess_ mod_<version>.ko est déchargé.
Scénario de déchargement du module 3 :
Les modules sont chargés dans l’ordre suivant :
mfeaack_<version>
.ko ,
sample_module.ko et
fileaccess_ mod_<version>
.ko .
- L’OAS est désactivé. fileaccess_ mod_<version>.ko est déchargé.
- Le sample_module.ko est déchargé.
- La protection de l’accès est désactivée. mfeaack_<version>.ko est déchargé.
Scénario de déchargement du module 4 :
Les modules sont chargés dans l’ordre suivant :
mfeaack_<version>
.ko ,
sample_module.ko et
fileaccess_ mod_<version>
.ko .
- Un futur Hotfix contenant des correctifs pour le module kernel est en cours d’installation.
- fileaccess_ mod_<version>.ko est déchargé et fileaccess_ mod_<version>.ko est chargé.
- mfeaack_<version>.ko n’est pas chargé et mfeaack_<version>.ko est chargé.
Remarque : Le patch du module tiers est détecté par-dessus
mfeaack_<version>
.ko . L’ancienne version et la nouvelle version du module sont chargées dans la mémoire afin d’éviter toute panique du noyau.