LINUX.ORG.RU
ФорумSecurity

Контроль запуска приложений по md5


3

1

Какой прогой можно ограничить запуск от имени юзвера бинарного кода по его md5 ? Есть ли готовое решение ? Например чтоб хеши бинарников лежали в конфиге или базе MySql. И если в них нету хеша то отказ в запуске приложения.

Перемещено beastie из admin

изобретение цифровых подписей на лоре. цинично.

Anoxemian ★★★★★
()

а кто будет проверять приложение по вычислению md5? только не говорите что аппаратура ;)

anonymous
()

Делаю всегда так:

1 этап / и /usr отдельные разделы и монтируются ro. /home, /var, /tmp монтируются всегда noexec.

99% школоты отсеется сразу, но есть умники которые проверят опции монтирования и перед записью/выполнением зделают соотведственно:

mount -wo remount /

mount -o remount,exec /home

Чтобы отсеять оставшийся 1% надо перейти ко второму этапу:

2 этап grsecurity:

/etc/sysctl.conf

kernel.grsecurity.tpe = 1

kernel.grsecurity.romount_protect = 1 (сделает невозможным изменения до перезагрузки системы с отключеной этой опцией!!!)

kernel.grsecurity.grsec_lock = 1

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security