Как быть со скриптами, которые как-бы напрямую не выполняются, но вредоносные действия выполнить могут ?
http://g.zeos.in/?q=linux run only signed executable files

Спасибо, нашел несколько решений, буду разбираться.

А со скриптами, наверное запретим выполнение bash скриптов из папки пользователя совсем. Тоесть только системные скрипты пусть выполняются, и по идеи пользователь их не может модифицировать.

Думаю почитать про selinux будет нелишним.

И придётся позапрещать питон,перл. Js вообще из браузера можно будет выполнить. Всякие проги имеют интерактивный режим и через них можно выполнять что хочешь.

Корень в ro и запрет на исполнение из всех мест кроме корня уже чем то не торт?

скрипты тоже подписать! дописать в конец текстом цифровую подпись в ascii-armored виде

А подробнее?

Какие пакеты есть реализующие проверку этой подписи?

запрет на исполнение из всех мест кроме корня уже чем то не торт?

Как?

Как?

Как? Как? Наверное монтированием всех остальных мест с соответствующей опцией?

От ручного вызова интерпретатора с корня не поможет.

И да у этих ублюдков в GrSecurity в их заплатке ядра был флажок который запрещает исполнение любого кода не созданного в тулчейне с их же заплатками. И вот если включить эту паранойю то да perl, python, bash, sh… всё вообще шло лесом. И помоему эту фичу оттуда пока что так и не портировали.

От ручного вызова интерпретатора с корня не поможет.

Товарищь Сталин не может ошибатся - нет интерпретатора нет проблем.

ld-linux.so тоже интерпретатор.

Питон и перл и так запрещен, всмысле нечем их обрабатывать. Доустановить нельзя.

JS в браузере не считаем, там своя песочница у браузера.

Доустановить нельзя.

Даже в пользовательский каталог?

ld-linux.so тоже интерпретатор.

нет интерпретатора нет проблем

Ну ты понил да? А то до тех пор пока он есть проблем не оберешься.

Из пользовательского каталога нужно вообще запретить выполнять файлы

Бегло ознакомился с вариантами, на сколько понял, это:

1) DigSig

2) IMA/EVM

Буду еще глубже копать и сравнивать, но может быть есть люди которые успешно применяли эти системы и уже изучили их?

Можно через seccomp переопределить вызовы execv, execp, ... На свой который читает значение extended атрибута security.myattribute и соответственно проверяет хэш, выполняет или нет.

DigSig давно заброшен. IMA/EVM включены в ядро и развиваются, очень функциональны, но пользоваться ими на обычном дистрибутиве ими будет, вероятно, довольно проблематично. Для оффлайн-дистрибутивов для встраиваемых систем подходят.

snort, selinux такое умеют?

По идее достаточно noexec в качестве опции монтирования для хомяка. Нечаянно запустить вредоносный исполняемый файл уже никак не получится. Специально, прописав нужные команды в командную строку - получится. Но не пофиг ли (как верно заметили выше, один фиг остаются интерпретаторы)? Если юзер осознанно хочет запустить что-то плохое, то он может вообще ручками выполнить то, что должен был выполнить скрипт (удалить какие-нибудь файлы, скопировать что-нибудь на флешку или отправить по сети с помощью браузера и т. д.). И от этого никак не уйти. Только доверять юзерам + ограничивать максимально их в правах (чтобы они не могли получить доступ к тому, к чему в принципе не должны).

Придумал, как обойдись селинухом

Достаточно объявить, что его метки есть кеш результата проверки подписей. Грубо говоря, наваять кастомный restorecon, который выставляет метки согласно 2х разных политик для проверенных и непроверенных файлов(очевидно, вторая - без исполнимых меток), отобрать права менять их всему, кроме него, у всего отобрать права писать в исполнимые типы, добавить принудительный relabel всего при перезагрузке и обновлениях.