什么是loadPin模块

LoadPin是一个基于LSM架构,主要用于限制内核模块来源的安全模块。LoadPin是一个新的Linux安全模块,可确保内核加载的所有文件(内核模块,固件,kexec映像,安全策略)都来自同一文件系统,并期望这样的文件系统由只读设备支持。这旨在简化嵌入式系统(不需要复杂的签名机制),如果系统被配置为从只读设备引导,那么嵌入式系统不需要任何内核模块签名基础设施/检查。

内核4.7开始引入,

loadpin原理

loadpin的原理是:安全敏感文件(包括内核模块)保存在只读存储器中,在系统引导之前,对该存储进行整体验证。因此从只读分区加载模块是安全的,无论它们是否已经签名,同时拒绝从其他地方加载模块。他们的来源确定且不能被修改,因此确认了来源安全。

参考资料

1.理解linux下的loadPin

https://zhuanlan.zhihu.com/p/354893466