Есть ли возможность в системе (linux/freebsd) организовать проверку цифровых подписей запускаемых файлов? Т.е. ядро перед запуском бинарника должно проверять, имеет ли бинарник цифровую подпись, если имеет - разрешать запуск, если нет - отказывать в доступе?
Или не имеет смысла искать геморрой на голову, а просто монтировать партишены с запускаемыми файлами в r/o, а остальные - с noexec флагом? И, естественно, периодически проверять контрольные суммы файлов системамами наподобие AIDE ?