新しいEVMのパッチがLKMLに提出されました。

SELINUXは強制アクセス制御で、ファイルへのアクセスは、システムで設定されたラベルに
基づいて行われます。ユーザーやプログラムはこのラベルで規定（制限）された本来の動作しかできません（最小権限）。つまり、もし攻撃者に脆弱なプログラムが乗っ取られてても、そのプログラムの権限を超えた攻撃はSELINUXにより阻止され記録されます。ラベルはシステム側で決定されており、管理者でさえ変更できません。

では電源がオフの状態にHDDを抜いてラベルを書き換えてしまったらどうでしょう？ この状態では、OSは死んでいますので、ラベルの変更攻撃を防ぐことができません。HDDであればパスワードを設定するのは有効な対策ですが、組み込み機器や、仮想マシンのイメージなどでは、暗号化が必要になるでしょう。

EVMではラベルのインテグリティ（完全性）をチェックすることができます。なので、オフライン中にファイルシステムに対して不正な変更があった場合には、その変更を検出することが可能になります。暗号化よりはお手軽に使えると思います。

EVMはLinuxのSecurity Attribute（XATTR）を保護します。なので、IMAやSMACKについても利用可能です。

TOMOYOの場合、XATTRは使わないけど、PolicyはIMAで計測するので、間接的にEVMで保護される感じでしょうか？

使い方はこちらに詳しく出ています。試す場合Fedora12あたりが良いでしょう。
http://linux-ima.sourceforge.net/#Linux%20Extended%20Verification%20Module