Исполнение только подписанных файлов

Security Boot и подпись загрузчика Windows (комментарий)

А чё, никто не в курсе? Новая уязвимость линукса: BootHole (комментарий)

А почему ваши Ынтерпрайз дистры не поддерживают Integrity?

В РФ при Путине и ЕР Integrity стало уголовнонаказуемым: Что должен знать специалист ИБ на старте (комментарий) ?!!

В РФ при Путине и ЕР Integrity стало уголовнонаказуемым

Это если ты кому-то за деньги делаешь. А мне это лицензирование до известного места.

За первые ссылки спасибо.

Это может быть полезным при разборе IMA: https://www.opennet.ru/openforum/vsluhforumID10/5560.html

Все выше относится к классике от IBM (IMA/EVM).

Есть реализация Integrity от Google: dm-verity используется в chromebook, Кажись там ro.

fs-verity …

M$ пропихнула свою реализацию Integrity: https://github.com/microsoft/ipe https://lkml.org/lkml/2020/4/6/941

В инете есть кучу патчей от Васянов реализующих Integrity в Linux! Некоторые хорошие.

Если выбор будет за IMA/EVM можем обмениваться патчами. Она реализована строго как написано в спеках TCB. Это не совсем удобно для тех кто не имеет TPM. Недавно полезли ее изменять, не в лучшую сторону. IMA требует понимания для написания политик, а молодежь вместо написания правильной политики херит хороший код. Если содержимое linux/security/integrity небезразлично можем вместе следить за кодом.

А что делать со скриптотней? Шелл будет подписан, а скрипты, которые он может выполнять тоже должны быть подписаны? А если через аргументы командной строки?

Да и подписанный софт можно заюзать во воед. Типа, запуска еще одного ssh с правильными ключами или передача данных удаленно curl, netcat иди чем-то подобным.

Имхо, все это очень ненадежно

Ну так не серебряная пуля же. У меня не то что задача, скорее мысли о том как не дать подменить бинарь на что-то заряженое, даже имея шелл доступ.

Шелы, не всем пользователям необходимы, можно просто запретить с помощью DAC, во всех *NIX.

IMA хорошо блокирует исполнение левых бинарей, библиотек и прочего:

appraise func=BPRM_CHECK mask=MAY_EXEC

appraise func=MMAP_CHECK mask=MAY_EXEC

…

А что делать со скриптотней? Шелл будет подписан, а скрипты, которые он может выполнять тоже должны быть подписаны?

Монтируй /home, /tmp, /var с опциями nodev,noexec,nosuid

В нормальных дистрах левая скриптота не запускается: https://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/Linux/CD/Dystryk/

Integrity это один из столпов безопасности UNIX. Верификация системы по запросу необходима для уровня C*, а верификация системы при загрузке необходима для уровня B* - сертификация от 1983 года.

UNIX

милость ему и благословение

Что такое UNIX, определение?

В моих понятиях это OS 100% соответствующая стандарту POSIX https://en.m.wikipedia.org/wiki/POSIX

Следовательно UNIX сегодня это OS от Apple и некоторые GNU/Linux: EulerOS.

А Android, *BSD, другие GNU/Linux дистры до UNIX чуть не дотягивают.

Отслеживание изменений файлов. Дьявол в деталях. Чем пользваться? (комментарий)

Перечитывал старые документы, уровень C1 явно требует целостность и аутентичность всего исполняемого, библиотек, настроек, пункт 2.1.3.1.1: «The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres).»

Так что анон выше правельный вопрос поднял - не подписанное и левое исполнятся не должно:

/home/vasya/virus.sh

bash /home/vasya/virus.sh

Система уровня C1 уже должна блокировать!

IBM говорит, что политика по умолчанию в ядре Linux IMA/EVM полностью соответствует требованиям TCB. Смотрел их политику, по умолчанию от пользователя root оно запустить левый скрипт не даст, а обычному пользователю дает… Правила политики которые привел здесь выше, блокируют исполнение скриптов и обычным пользователям.