Linux c системой проверки подлинности ОС ?

Из чего с чем-чем? Подлинность чего конкретно ты собрался проверять?

Есть. Называется WSL.

Это чтоле? https://www.phoronix.com/scan.php?page=news_item&px=Linux-5.4-Adds-Lockdown

Или подписи пакетов? Эти есть почти везде давно.

Скорее поциент хочет доверенную цепочку загрузки, но лучше бы обратил внимание на галоперидол.

Пролеткульт может не беспокоится https://youtu.be/GD1f1GB6cYs

чемоданчика с нарочным

Ась?

А вообще не совсем ясно, чего ты конкретно хочешь.

в этом вопросе я только понял, что вы зачем-то установили себе Devuan и теперь хотите, чтобы вас убедили, что это имело какой-то смысл. Подождите, пока не вознет очередная тема по выражению ненависти к systemd, в ней вас будут в этом убеждать.

$ file /bin/true
/bin/true: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=aab34772e2af740962960bba0da20fe660158058, stripped

[sha1]=aab34772e2af740962960bba0da20fe660158058

Проверяй хеши

Наверное, что-то типа этого, но без вайна

в пакете deb в разделе control.tar.* имеется файлик md5sums с подписями файлов идущих в комплекте пакета установки.

3c4896d0e5db9654f20ed845b00c45ca usr/bin/apt
027c79e0e2139a265487e4b102f3ea2c usr/bin/apt-cache
cf1474de3f792300cb12aa1a1e921b88 usr/bin/apt-cdrom
c2505750539d947ba5f4617723cd141b usr/bin/apt-config
53d898c1f74df4da0003d9eab62a3a88 usr/bin/apt-get
1639442b2a08c794f327b40998af7788 usr/bin/apt-key
7d22986479f40e78828c7f0593fa17cc usr/bin/apt-mark

по нему можно проверить насколько файлы системы отличаются от файлов в пакете установки.

можешь написать скрипт прохода по списку пакетов и проверить отличия.

а мож где уже готовый есть.

Devuan - очень одобряю выбор, потому как он даже бинарно почти совпадает с Debian, а Debian без systemD был просто шикарен.

Обязательно Libreboot с GRUB2, прошитым тоже в чип бивиса материнки, далее загрузка всего с полностью зашифрованных дисков, которые открываются с помощью Nitrokey Pro2 или Rutoken ECP2.

Изоляцию процессов нужно делать с помощью отдельных физических компов, а не через KVM/QEMU и уж тем более не через chroot или контейнеры.

Конечно же обязательны бэкапы с паролем 123 без всяких ключей, ибо пропавший ключ не должен стать причиной вашей личной трагедии.

Наличие LiveCD, с которого нужно иметь возможно протестить чексуммы вашей установки аналогично утилите: wajig integrity

Возможно, кто-то умеет и изящнее, но хотя бы и так сойдет на первое время.

Ну и таки Gentoo или GUIX почему-то выглядят благонадежнее Debian based на предмет софтовых закладок даже в правильных deb пакетиках.

можешь написать скрипт прохода по списку пакетов и проверить отличия.

а мож где уже готовый есть.

wajig integrity

Только от него немного толку, если скомпроментированны бинарники, ответственные за проверку.

С моей точки зрения надо обновиться до последних версий, скопировать список установленных пакетиков и потом сделать debootstrap с этим списком в ранее пустой каталог с LiveCD. И потом сравнить rsync --dry-run, хоть какая-то проверка.

#херасдва :) https://askubuntu.com/questions/139770/what-does-buildid-sha1-mean

BuildID is NOT the hash of a binary or related to it. It is an identifier for the «build» (or compiling) session which produced that binary. It is mostly there for debug purposes, so that the developers can look at the logs, environment, etc. from session number $BuildID and try to fix the problem, reproduce it, etc.

Только от него немного толку, если скомпроментированны бинарники, ответственные за проверку.

если скомпрометированы бинарники, то теоретически может быть что угодно.
но качественно скомпрометировать бинарь хеш-подписи для правильного ответа с заранее неизвестным ответом (хеш-база над ругой машине)

все зависит от выбранного уровня сложности задачи.

мудрить с debootstrap имхо крайне излишнее. небольшой образ системы, разворачиваемой в рам и имеющей минимальный набор для конкретной проверки будет и проще и эффективнее.
rsync –dry-run тоже как-то излишне. полноценную копию корня еще где-то надо держать и иметь к ней доступ, и периодически отливать изменения, ибо в ином случае не поймешь: файлик изменен обновлением, юзером или злодеем. md5sum имхо хватит за глаза.

man debsums

Тебе по запросу? Это IDS системы их много в каждом листе есть.

Если при доступу то смотри:

https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatures

https://sourceforge.net/p/linux-ima/wiki/Home/

Это пример, в инете ругают, есть другие варианты. Добавь к нему tboot/secureboot/... и будет полностью верифицированная при загрузке система.

Делать надо самому, чтобы все ключи создавались и уничтожались/хранились лично тобой, иначе будешь ныть: Расскажите как вы защищаете свои рабочие станции? (комментарий)

Что значит «Linux с проверкой подлинности»? Чего подлинность проверять хочешь?

1. Подлинность исходников с которых собираешь Linux.

2. Отсутствие в исходниках недокументированных возможностей.

3. Подлинность скачаных с реп бинарных пакетов.

4. Верификация бинарных пакетов дистрибутива, переборка из исходников и сверка.

5. Проверка целостности установленной системы по запросу. Проверка целостности отдельного пакета.

6. Проверка целостности установленноц системы при загрузки.

GNU/Linux ни одной не видел. В Android используется dm-verity и доверенная загрузка.

GNU/Linux ни одной не видел.

https://wiki.gentoo.org/wiki/Integrity_Measurement_Architecture

https://en.opensuse.org/SDB:Ima_evm

Уже около 10 лет встроено в ядро Линукса и загрузчики. Просто многие дистры правильно не включают эту фичу.

В Android используется dm-verity и доверенная загрузка.

Ключ секретный у кого?!!!! Еще раз, это не правильная реализация: Расскажите как вы защищаете свои рабочие станции? (комментарий)

GNU/Linux ни одной не видел.

Теоретически оно есть во всех дистрибутивах. Надо сделать две вещи:

1. Создать ключи и подписать файлы.

2. Добавить публичный ключ в ядро и включить проверку параметрами загрузки ядра.

RH-7 имеет все необходимое: https://access.redhat.com/errata/RHBA-2019:2183 и все на нем основание тоже должно иметь. Разве кто УМЫШЛЕННО выпилил.

Oracl Linux 7: https://community.oracle.com/thread/4286971

https://wiki.tizen.org/Security:IntegrityMeasurement

https://mvista.com/en/products/detail/cgx-cgl-and-security

https://cisofy.com/lynis/plugins/system-integrity/

......

в пакете deb в разделе control.tar.* имеется файлик md5sums с подписями файлов идущих в комплекте пакета установки.

У всех современных пакетных менеджеров есть сия фича.

по нему можно проверить насколько файлы системы отличаются от файлов в пакете установки.

А права, собственника, разные атрибуты файлов как этим проверить.

можешь написать скрипт прохода по списку пакетов и проверить отличия.
а мож где уже готовый есть.

Есть кучу готовых, писал свои еще лучше чем готовые. У всех кроме выше указанного есть еще один большой недостаток - время проверки более 5 часов!

На той же системе, даже старый специализированный софт IDS десятилетней давности, без недостатков, проверяет всю систему, по запросу, за ~30 минут.

Я в курсе под IMA/EVM, но оно по умолчанию не включено ни в одном дистрибутиве. Аналогично с доверенной загрузкой. Секретный ключ для dm-verity в Android находится в initrd, если не ошибаюсь, который вшит в ядро.

Я в курсе под IMA/EVM, но оно по умолчанию не включено ни в одном дистрибутиве.

GRUB с поддержкой RSA и ядро Линукс с IMA/EVM по умолчанию есть во всех дистрибутивах, если они УМЫШЛЕННО его не отключили.

Есть проблема с инсталлером, где будет для хомячков стоять галочка «включить верификацию системы при загрузки». И проблема с написанием корректной программы обновления системы с верификацией загрузки. Также стоит проблема как быть с suspend to swap и гарантией верификации системы восстановленной со спящего режима. Все проблемы решаемы, но в популярных дистрах этим занимался не хотят, они заняты сЫстемдЫ и ускорением загрузки и пробуждения системы, а верификация установку/загрузку/обновления чуть притормозит.

Пользователи верификацию делают сами. Предварительно поплачут от руткитов троянов майлвари и потом сделают.

Аналогично с доверенной загрузкой.

Это уже сильно зависит от купленной материнской платы. Для плат с поддержкой Coreboot можно организовать полную доверительную загрузку.

Секретный ключ для dm-verity в Android находится в initrd, если не ошибаюсь, который вшит в ядро.

Ошибаешься! В ядре есть только ПУБЛИЧНЫЙ ключ для верификации подписей. Подписать публичным ключом ничего невозможно.

А секретный ключ, необходимый для подписи, есть у Google и копия у майора с АНБ. ;)

Загрузка чего-то там подлинного еще ничего не значит, если в исходниках или бинарниках были подмены. Подлинность начинается c git signed commits, публичных хэшей и контрольных сумм. В простейшем случае это iso-образ с публичным хэшами производителя. Как правило установленная ОС с такого образа и есть минимальная гарантия подлинности.

это всего лишь вариант проверки доступными средствами с минимальной заморочками.
никто не запрещает заиметь полную копию оф.репозитория и сгенерить из него полноценную базу устанавливаемых файлов с хешами/правами/версиями и всем прочим желаемым блекджеком.
а в системе лежит лишь небольшой скриптик который каждый имеющийся файл сравнивает с базой и выдает результат.
решение зависит от тз.