Есть ли возможность в системе (linux/freebsd) организовать проверку цифровых подписей запускаемых файлов? Т.е. ядро перед запуском бинарника должно проверять, имеет ли бинарник цифровую подпись, если имеет - разрешать запуск, если нет - отказывать в доступе?Или не имеет смысла искать геморрой на голову, а просто монтировать партишены с запускаемыми файлами в r/o, а остальные - с noexec флагом?
И, естественно, периодически проверять контрольные суммы файлов системамами наподобие AIDE ?
в Линухе/Фре незнаю, а в НетБСД есть встроенная в ядро система контроля и блокировки.
>в Линухе/Фре незнаю, а в НетБСД есть встроенная в ядро система контроля
>и блокировки.
[в догонку]: вообще в опенсорс самому можно что угодно дописать ;)
>в Линухе/Фре незнаю, а в НетБСД есть встроенная в ядро система контроля
>и блокировки.это в линуксе тоже есть..
selinux - этого механизма при внимательном изучении и настройке хватит на 100% чтобы удовлетворить ваши параноидальные настроения в этом вопросе
>>в Линухе/Фре незнаю, а в НетБСД есть встроенная в ядро система контроля
>>и блокировки.
>Ага, спасибо. Посмотрим на реализацию.
>это в линуксе тоже есть..
>
>selinux - этого механизма при внимательном изучении и настройке хватит на 100%
>чтобы удовлетворить ваши параноидальные настроения в этом вопросеSelinux обеспечивает контроль запуска только подписанного софта?
>[в догонку]: вообще в опенсорс самому можно что угодно дописать ;)
Написать то можно что угодно, но для начала хотелось бы изучить - не будет ли изобретаться велосипед :)
>Или не имеет смысла искать геморрой на голову, а просто монтировать партишены с >запускаемыми файлами в r/o, а остальные - с noexec флагом?
chflags(1) и systrace(1)в BSD, не используйте PATH, запускайте с абсалютными путями..