LINUX.ORG.RU

проверка подписи файлов перед запуском


0

0

Есть ли возможность в системе (linux/freebsd) организовать проверку цифровых подписей запускаемых файлов? Т.е. ядро перед запуском бинарника должно проверять, имеет ли бинарник цифровую подпись, если имеет - разрешать запуск, если нет - отказывать в доступе?

Или не имеет смысла искать геморрой на голову, а просто монтировать партишены с запускаемыми файлами в r/o, а остальные - с noexec флагом? И, естественно, периодически проверять контрольные суммы файлов системамами наподобие AIDE ?


Re: проверка подписи файлов перед запуском

Дорогой, а откуда у тебя в системе левые файлы и почему не проводится регулярный аудит всего и вся? И самый главный вопрос - почему этим должно заниматься ядро?

e ()

Re: проверка подписи файлов перед запуском

Организуй сам - исходники есть.

> а просто монтировать партишены с запускаемыми файлами в r/o, а остальные - с noexec флагом?

Как вариант паранойи также подойдёт запуск с LiveCD, без поддержки tmpfs/fuse. А вообще, если вас взломали, то лучше сразу систему переустановить, ибо новые трояны на основе virtual machine вообще невозможно отловить.

birdie ★★★★★ ()

Re: проверка подписи файлов перед запуском

в netbsd есть veriexec

dilmah ★★★★★ ()

Re: проверка подписи файлов перед запуском

>Дорогой, а откуда у тебя в системе левые файлы и почему не проводится >регулярный аудит всего и вся? И самый главный вопрос - почему этим >должно заниматься ядро?

Хорошо, каким средствами ты предлагаешь проводить регулярный аудит?

Вариант запуска с LiveCD тоже неплох, впрочем :)

>в netbsd есть veriexec
netbsd, нигде не стоит :(
только RH и FreeBSD

>Drm'щики наступают! :)
Ну у Intel-а это пока лишь в обещаниях... 
Хотя запуск подписанного софта на уровне процессора - имхо идея хорошая.

eightn ()

Re: проверка подписи файлов перед запуском

>Хотя запуск подписанного софта на уровне процессора - имхо идея хорошая.

угу - до жопы хорошая, при минимальном лобби со стороны микрософта твой любимый ляликс покатится в волосатую и хлюпающую пизду

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.