この記事では ENSLTP 10.5.3 以降でのカーネル モジュールの動作を説明します。
カーネル モジュール名: ENSLTP は 2 つのカーネル モジュールが同梱されています。 ENSLTP 10.5.3 以前のモジュールは
fileaccess_mod.ko および
mfeaack.ko という名前です。 ENSLTP 10.5.3 以降のモジュールは
fileaccess_mod_<バージョン>.koおよび
mfeaack_.ko です。 カーネル モジュールのロード: ENSLTP でオンアクセス スキャナーが有効になっていると、製品は
fileaccess_ mod_<バージョン>.ko をメモリに挿入します。 ENSLTP でアクセス保護が有効になっていると、製品は
mfeaack_<バージョン>.ko を メモリに挿入します。
カーネル モジュールのアンロード: オンアクセス スキャナーとアクセス保護機能がそれぞれ無効になると、モジュール
fileaccess_mod.ko および
mfeaack.ko はメモリからアンロードされます。 ENSLTP 10.5.3 より前の ENSLTP は、アクセス保護がポリシーによって無効になった場合、
mfeaack.ko モジュールをアンロードしません。 製品 サービスが停止すると、モジュールもまたアンロードされます。
ENSLTP 10.5.3 以降では、モジュール
fileaccess_ mod_<バージョン>.ko お よび
mfeaack_.ko はサードパーティ製カーネル モジュールが McAfee 上にパッチを適用するかどうか検知する機能があります。 サードパーティ製カーネル モジュール パッチが McAfee の上で検知された場合、この追加機能は McAfee カーネル モジュールのアンロードを制限します。 このバージョン以前では、上記のシナリオの McAfee モジュールのアンロードによってカーネル パニックが発生します。
動作内での変更の結果、McAfee モジュールがメモリからアンロードされない場合、いくつかの考えられるシナリオがあります。
NR_open パッチを適用するシステム コールを必要とするサードパーティ製カーネル モジュール
sample_module.ko を検討します。 ENSLTP 10.5.3 以降がインストールされ、実行されている場合、次の動作が発生する可能性があります。
モジュール アンロード シナリオ 1: 次の順序でモジュールがロードされます: mfeaack_<バージョン>.ko
、fileaccess_ mod_<バージョン>.ko、sample_module.ko。
- アクセス保護が無効です。 mfeaack_<バージョン>.ko がロードされません。
- オンアクセス スキャンが無効です。 、fileaccess_ mod_<バージョン>.koがアンロード されません。
モジュール アンロード シナリオ 2:
次の順序でモジュールがロードされます: mfeaack_<バージョン>.ko、sample_module.ko、fileaccess_ mod_<バージョン>.ko。
- アクセス保護が無効です。 mfeaack_<バージョン>.ko ががアンロード されません。
- オンアクセス スキャンが無効です。 、fileaccess_ mod_<バージョン>.koロードされません。
モジュール アンロード シナリオ 3:
次の順序でモジュールがロードされます: mfeaack_<バージョン>.ko、sample_module.ko、fileaccess_ mod_<バージョン>.ko。
- オンアクセス スキャンが無効です。 、fileaccess_ mod_<バージョン>.koロードされません。
- sample_module.ko がアンロードされます。
- アクセス保護が無効です。 mfeaack_<バージョン>.ko がロードされません。
モジュール アンロード シナリオ 4:
次の順序でモジュールがロードされます: mfeaack_<バージョン>.ko、sample_module.ko、fileaccess_ mod_<バージョン>.ko。
- カーネル モジュールの修正を含む今後の hotfix がインストールされています。
- 、fileaccess_ mod_<バージョン>.koアンロードされ、fileaccess_ mod_<バージョン>.ko はロードされます。
- mfeaack_<バージョン>.ko がアンロードされません。mfeaack_.ko はロードされます。
注: サードパーティ製モジュール パッチは mfeaack_<バージョン>.ko の上で検知されます。そのため、モジュールの古いバージョンと新しいバージョンがカーネル パニックを避けるためメモリにロードされます。