In questo articolo viene descritto il comportamento dei moduli kernel con ENSLTP.
Nomi dei moduli del kernel:
ENSLTP viene fornito con due moduli kernel. I moduli sono denominati
fileaccess_mod_<version>.ko e
mfeaack_<version>.ko .
Caricamento dei moduli di kernel:
Quando ENSLTP è configurato con la scansione all'accesso attivata, il prodotto viene inserito
fileaccess_ mod_<version>.ko nella memoria. Quando ENSLTP è configurato con la protezione dell'accesso attivata, il prodotto viene inserito
mfeaack_<version>.ko nella memoria.
Scarico dei moduli di kernel:
I moduli
fileaccess_ mod_<version>.ko e
mfeaack_<version>.ko vengono scaricati dalla memoria quando le funzionalità di scansione all'accesso e protezione all'accesso sono disattivate rispettivamente. I moduli dispongono di funzionalità che consentono di rilevare se i moduli di kernel di terze parti sono stati patchati in cima a ENSLTP. Questa funzione limita lo scaricamento dei moduli di ENSLTP kernel, se viene rilevata una patch di modulo kernel di terze parti in cima a ENSLTP.
Si consideri un modulo
sample_module.ko di kernel di terze parti che richiede una patch di chiamata di sistema di
NR_open . Si verifica il seguente comportamento.
Scenario di scaricamento del modulo 1:
I moduli vengono caricati nel seguente ordine:
mfeaack_<version>
.ko ,
fileaccess_ mod_<version>
.ko e
sample_module.ko .
- La protezione dell'accesso è disattivata. mfeaack_<version>.ko viene scaricato.
- La scansione all'accesso (OAS) è disattivata. fileaccess_ mod_<version>.ko non è stato scaricato.
Scenario di scaricamento del modulo 2:
I moduli vengono caricati nel seguente ordine:
mfeaack_<version>
.ko ,
sample_module.ko e
fileaccess_ mod_<version>
.ko .
- La protezione dell'accesso è disattivata. mfeaack_<version>.ko non è stato scaricato.
- L'OAS è disattivato. fileaccess_ mod_<version>.ko viene scaricato.
Scenario di scaricamento del modulo 3:
I moduli vengono caricati nel seguente ordine:
mfeaack_<version>
.ko ,
sample_module.ko e
fileaccess_ mod_<version>
.ko .
- L'OAS è disattivato. fileaccess_ mod_<version>.ko viene scaricato.
- Il sample_module.ko viene scaricato.
- La protezione dell'accesso è disattivata. mfeaack_<version>.ko viene scaricato.
Scenario di scaricamento del modulo 4:
I moduli vengono caricati nel seguente ordine:
mfeaack_<version>
.ko ,
sample_module.ko e
fileaccess_ mod_<version>
.ko .
- È in corso l'installazione di un hotfix futuro contenente le correzioni del modulo kernel.
- fileaccess_ mod_<version>.ko viene scaricato e fileaccess_ mod_<version>.ko caricato.
- mfeaack_<version>.ko non è stato scaricato ed mfeaack_<version>.ko è stato caricato.
Nota: La patch del modulo di
mfeaack_<version>
.ko terze parti viene rilevata in cima a. Sia la versione precedente che la nuova versione del modulo vengono caricate nella memoria per evitare kernel panico.