Контроль запуска приложений по md5

3

1

Какой прогой можно ограничить запуск от имени юзвера бинарного кода по его md5 ? Есть ли готовое решение ? Например чтоб хеши бинарников лежали в конфиге или базе MySql. И если в них нету хеша то отказ в запуске приложения.

Перемещено beastie из admin

Ссылка

←	TrueCrypt не монтирует контейнеры

Литература по написанию модулей/модификации selinux, apparmor на русском.

→

Мопед не мой → http://stackoverflow.com/questions/1732927/signed-executables-under-linux

beastie ★★★★★
(14.04.13 03:10:18 MSK)

Ссылка

изобретение цифровых подписей на лоре. цинично.

Anoxemian ★★★★★
(14.04.13 03:10:55 MSK)

Ссылка

а кто будет проверять приложение по вычислению md5? только не говорите что аппаратура ;)

anonymous
(14.04.13 03:30:52 MSK)

Ответ на: комментарий от anonymous 14.04.13 03:30:52 MSK

Самый тонкий момент неловкой ситуации :-)))

Anoxemian ★★★★★
(14.04.13 03:39:14 MSK)

Ссылка

Похоже тебе нужен SElinux.

kernelpanic ★★★★★
(14.04.13 04:02:48 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.04.13 03:30:52 MSK

А как вы ее подмените?

Ubuntu1210 ★
(14.04.13 04:53:58 MSK)

Ответ на: комментарий от Ubuntu1210 14.04.13 04:53:58 MSK

Кого «ее» - аппаратуру?

anonymous
(15.04.13 20:25:08 MSK)

Ответ на: комментарий от anonymous 15.04.13 20:25:08 MSK

Программу эту.

Ubuntu1210 ★
(15.04.13 22:52:20 MSK)

Ссылка

Делаю всегда так:

1 этап / и /usr отдельные разделы и монтируются ro. /home, /var, /tmp монтируются всегда noexec.

99% школоты отсеется сразу, но есть умники которые проверят опции монтирования и перед записью/выполнением зделают соотведственно:

mount -wo remount /

mount -o remount,exec /home

Чтобы отсеять оставшийся 1% надо перейти ко второму этапу:

2 этап grsecurity:

/etc/sysctl.conf

kernel.grsecurity.tpe = 1

kernel.grsecurity.romount_protect = 1 (сделает невозможным изменения до перезагрузки системы с отключеной этой опцией!!!)

kernel.grsecurity.grsec_lock = 1

anonymous
(19.04.13 14:30:01 MSK)

Ссылка

Для общего развития читай здесь: http://www.gentoo.org/proj/en/hardened/integrity/index.xml

Но лучше сначала приложить усилия описаные постом выше.

anonymous
(19.04.13 15:06:48 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	TrueCrypt не монтирует контейнеры

Литература по написанию модулей/модификации selinux, apparmor на русском.

→