Veriexec - fingerprintが違う場合にアクセスを制限する[NetBSD]

tech-kern@netbsdで、
「metahook(8)っていう汎用的な仕組みを作れば、Veriexecにも使えるよね」
という話が出ている。

Veriexecって何?と思って調べた。

• ファイルのfingerprint一覧を、/etc/signaturesにあらかじめ書いておく
• ファイルへのアクセス時にfingerprintをチェックし、違う場合にはアクセスさせない
  

というような事が可能なシステムのようだ。
レベルによっても機能が異なり、

• レベル0 - signatureが合わない時はwarning
• レベル1 - signatureが合わない時はアクセスできない
• レベル2 - signatureがあるファイルの書き換えも禁止
• レベル3 - signatureが無いファイルにはアクセスできない
  

wikipediaによる説明
NetBSD Veriexec subsystem