В линуксе отсутствует механизм контроля целостности системы посредством эцп

Дурак тут тот, кто думает, что знает поведение всех запущенных программ.

Дурак тут тот, кто думает, что знает поведение всех запущенных программ.

Дурак тот, кто путает систему и TCB.

Если я напишу, что все выше и ниже отписавшиеся в треде - дураки, это будет нарушением какого пункта правил? )

Какая нафиг система и щто такое ТСВ ? Речь шла про некий проверяльщик целостности, сканирующий систему при старте. Я выразил сомнение, что это возможно сделать за разумное время по причинам физической скорости работы с накопителем. Можно проверять файлы выборочно, типа только те, что являются нашим ПО, но вопрос адекватности этого выбора тоже открыт, потому что поведение системы в целом и ПО в частности может зависеть от сотни самых неожиданных на первый взгляд файлов. Ваше ПО не работает из-за записи в hosts ? Абидно, это фейл, товарищи. Является ли файл hosts частью вашего ПО ? Нет ? А почему оно тогда не работает из-за мусора там ? Поэтому, надо сканировать всю инсталляцию, вообще всё, что есть на диске, не только содержимое пакетов. Что занимает несколько часов, особенно, на железе из прошлого десятилетия. Вот и всё.

насчет эцп.

то что ты хочешь лежит в области TPM. погляди intelTXT, и прочее говно. оно как раз таки есть и таки работает. (только смотри чтобы швабодка-фанбои незакидали говном)

Всё это есть в линуксе, и довольно давно. Применяется широчайшим образом в эмбеддедщине.

щто такое ТСВ ?

Ясно.

Просто для протокола: TCB - это Trusted Computing Base, минимальный набор софта, нормальное функционирование которого необходимо для соблюдения требований безопасности. Остальной может пытаться делать что угодно, от форматирования диска до рассылки спама - это предотвращается политиками безопасности.

Речь шла про некий проверяльщик целостности

Если TCB целостна, требования безопасности будут соблюдены. «Поведение всех запущенных программ» знать не нужно.

Всё это есть в линуксе, и довольно давно. Применяется широчайшим образом в эмбеддедщине.

Можно конкретнее?

бутафория все эти «применения», НЯЗ.

Добро пожаловать в 21 век, IaC во все поля. Когда всё прописано в Chef или еще где, то скрипт установки у тебя будет перед глазами и ты сможешь увидеть что и где изменено по сравнению с базовой системой и развернуть ее заново на новом сервере где гарантировано чисто.

у тебя нет никаких гарантий, что он в нём не оставил какую-нибудь гадость

я тебе по секрету скажу что даже если сервак намажешь толстым слоем чексумм, никакой гарантии у тебя как не было, так и не будет. Гадость можно оставить куда более изящным образом.

Например ты знаешь что многие настольные IP-телефоны умеют SSH, телнет и шедулер? Парой несложных действий любой настольный тел превращается в бомбу замедленного действия, и хрен ты это заметишь до того как она сработает (разве что руками прочекаешь таски каждого из N тысяч аппаратов)

ЭЦП — это хеш-сумма, которая проходит определенные преобразования, поэтому не обязательно подписывать каждый файл пакета, достаточно подписать файл с хеш-суммами файлов из этого пакета.

pg-подпись имеют только пакеты в репозитории, но не отдельные файлы в составе этих пакетов.

sudo debsums --all

проверит все файлы в том числе и конфигурационные.

ЭЦП можно сверять на старте системы. Более того, это было реализовано в платах accord которые пилило внии пвти что в Москве на Павелецкой.

И сколько же длилась загрузка ? Полдня ? Отлично.

У тебя десяточка полдня грузится?

поэтому телефоны по-хорошему включают в отдельную изолированную сеть

А щто, десяточка всю себя проверяет при старте ?

А что, ничего не проверяет?

поэтому телефоны по-хорошему включают в отдельную изолированную сеть

эту подсеть часто недостаточно изолируют с точки зрения безопасности, обычно максимум влан для организации сети и QoS

Не нужно, ибо это прямой путь к тивоизации. secure boot проверяет ядро, ядро проверяет пакеты. Так ты не запустишь ничего неодобренного дядей, даже при формально полностью открытой ОС.

А если тебе именно это и нужно? Например ты администрируешь предприятие и не хочешь, чтобы пользователи на рабочих машинах запускали что-либо, неодобренное тобой.

Мне не может быть нужно, чтобы за меня контролировал кто-то другой. Если я контролирую, то да, хорошо. Но всё идёт к тому, что всё больше и больше это контролирует не владелец компьютера.

Ехал с работы, размышлял о том, что защищённее Windows или GNU/Linux

Мне бы твои проблемы.

Просыпаясь утром и засыпая вечером, спохватываясь в горячечном бреду среди ночи, я думаю об одном и том же. Это это «что-то» уж никак не глобальные проблемы бытия, и не размышления о Windows или GNU/Linux.
Наверное, это сон. Прекрасный затянувшийся дивный сон, который как отрывок романа с замысловатым сюжетом из потрёпанной книжки с оторванной обложкой, где есть место всему.
Но это лирика (сегодня я в ударе) =)

Но не суть.
Когда линукс только-только начинал своё шествие по планете, он выглядел гораздо логичнее и стройнее. Такая мысль пришла мне в голову вчера, когда я решил подсмотреть в четвёртое ведёрко.
Подсмотрел, и мозг тут же дал команду:
-- Федя! Закрой архив и не открывай его больше никогда.

Шутка.
На самом деле сделать из икспишечки относительно безопасную среду не так уж и сложно. И будет она уж никак не хуже линя. Но придётся соблюдать ряд правил.
Да, и икспи я пользуюсь тоже.
И даже (о, ужас!) #OSпополам.

когда ты, допустим, принимаешь сервер у предыдущего админа, у тебя нет никаких гарантий, что он в нём не оставил какую-нибудь гадость

Никаких гарантий нет. Именно для таких целей существуют определённые правила. И этические в том числе.

Но на старуху тоже случается проруха, поэтому приходится о своей заднице думать самому. Хотя на самом деле людям я доверяю. Обычно видно невербально, и ошибался я редко. Хотя случалось принимать завирусованные сервера с покоцанными дровами.

механизм контроля целостности самой системы отсутствует как факт

Это не только в какой-нибудь экзотической NixOS есть, это в любом дебиане в наличии в виде debsums, да и на произвольный дистр обобщить несложно.

Ты чем думал вообще?

А и в самом деле, что проверяет винда? Я видел, что проверяет подписи установщиков и драйверов. Вот недавно сталкивался, правда на семерочке, не работал VirtualBox, по ошибке нагуглилось, что модифицированы системные файлы и поэтому не работает какой-то внутренний секурити механизм, по-моему как раз основанный на подписях. Но винда грузилась нормально, и никаких тревожных сигналов не подавала. После выполнения команды починки системных файлов, виртуалбокс запустился.

Сколько опечаток во фразе «репозиторий рецептов системы управления конфигурациями»...

А и в самом деле, что проверяет винда?

Это надо у специалистов по Windows спросить. Часть бинарников у неё зачем-то подписаны.

Мне не может быть нужно, чтобы за меня контролировал кто-то другой.

А кто тебя спрашивает? Выдали технику, инструкцию, пользуйся как положено и всё.

Если я контролирую, то да, хорошо. Но всё идёт к тому, что всё больше и больше это контролирует не владелец компьютера.

В чём выражается это «идёт»? Я купил с полгода назад материнскую плату, тут есть Secure Boot, есть возможность его отключить, есть возможность залить свои ключи (не пробовал, но в интерфейсе видел).

Запусти любой неподписанный файл - венда выругается. Если у тебя в домене прописаны соответствующие ограничения, ты его никак не сможешь запустить.

А кто тебя спрашивает? Выдали технику, инструкцию, пользуйся как положено и всё.

Если на работе выдали, то это одно. А если в магазине купил (или как юридическое лицо закупил, то другое).

В чём выражается это «идёт»? Я купил с полгода назад материнскую плату, тут есть Secure Boot, есть возможность его отключить, есть возможность залить свои ключи (не пробовал, но в интерфейсе видел).

Есть с неотключаемым homosecure boot. Есть другие специально сделанные подлянки. На мобильных платформах вообще оккупировано всё и вся.

Есть с неотключаемым homosecure boot

Например? И сколько таких устройств?

Есть другие специально сделанные подлянки.

Какие?

На мобильных платформах вообще оккупировано всё и вся.

Так там это отродясь было, ничего тут никуда не идёт.

Например? И сколько таких устройств?

Чем дальше, чем хуже.

Какие?

В соседней теме была история, что при выключении ноутбука из linux он продолжает разряжаться в выключенном состоянии, а в винде такого нет.

Так там это отродясь было, ничего тут никуда не идёт.

Но при этом мобильные ОС постепенно вытесняют десктопные.

Эцп построено поверх хэшей. Отличие только в дополнительном слое и паре ключей. Если предыдущий одмин их знал, то эцп фактически скатывается до хэшей.

Этот скотский аккорд... Ппц полный, до сих пор с ужасом вспоминаю

Tripwire?

Ну да, но это более общего охвата тулза.

В линуксе отсутствует механизм контроля целостности системы посредством эцп

Щито? Их тут даже несколько, на любой вкус и уровень, от банального checksums до всяких MSSF/Aegis и LSM.

Почему как вендузятник - так обязательно ламер, кукаретик и неосилятор?

хэш-сумма != эцп

Для твоих целей какая разница?

А если тебе именно это и нужно? Например ты администрируешь предприятие и не хочешь, чтобы пользователи на рабочих машинах запускали что-либо, неодобренное тобой.

Можно через setfacl настроить права на запуск, если мало, то есть SELinux, там вообще можно пользователя ограничить очень сильно.

Предыдущий админ может оставить в сервере свой CA (причем часто на «законных» основаниях - корпоративные dpi с возможностью мониторинга HTTPS это просто таки обязывают), и все проверки подписей пойдут лесом.

А если совсем припрет, на черном рынке за довольно скромные деньги можно купить (ну или можно было года 2 назад, ЕМНИП) валидные ключики на имя «приличных» контор для подписи своих бинарников, стукснет стайл, и тогда даже чистка списка доверенных корневых сертификатов не спасет.

PKI не защищает от злонамеренности поставщика ПО или услуги. Максимум повышает порог вхождения, потому что васянский шифровальщик, работающий на законе больших чисел, подписывать скорее всего заморачиваться не будут. А вот более-менее таргетированную атаку (и уж тем более со стороны «предыдущего админа») - технически проблем нету.

Если уж на то пошло, то PKI, рекламируемое как средство от вредоносного ПО, скорее зло. Потому что вселяет ложную уверенность в защищенности. Причем не только пользователю, но и разработчикам ПО. Для антивирусов является нормой безусловно доверять подписанным валидной (и желательно «настоящим», а не корпоративным CA) подписью бинарникам. Подпиши вирус купленной на черном рынке симантековской подписью и ходи мимо антивируса как к себе домой.

Для антивирусов является нормой безусловно доверять подписанным валидной (и желательно «настоящим», а не корпоративным CA) подписью бинарникам. Подпиши вирус купленной на черном рынке симантековской подписью и ходи мимо антивируса как к себе домой.

Потому, что у антивирусов слишком много ложных срабатываний и им проще проверить подпись, чем создавать проблемы пользователям и вендорам.

«репозиторий рецептов системы управления конфигурациями»...

Я бы выбросил «системы управления», и ненужное заимствование: «склад рецептов настроек» - в пи раз короче.

А так же потому, что проверять подпись банально быстрее.

Что, собственно, не отменяет того, что доверять подписи в общем случае опасно.

На мой взгляд эта опасность преувеличена. Случаи утекания подписи есть, но это исключение, а не правило. По хорошему надо ввести ответственность на уровне закона за использование подписи и всё. Есть подпись компании на вирусе? Значит компания отвечает за этот вирус. А то люди начали забывать значение слова «подпись».

На мой взгляд эта опасность преувеличена. Случаи утекания подписи есть, но это исключение, а не правило

https://go.recordedfuture.com/hubfs/reports/cta-2018-0222.pdf

Случаи утечки были единичными, но теперь появился рынок подполюных валидных сертификатов.

In 2017, security researchers around the world started seeing a sudden increase in code signing certificates being used as a layered obfuscation technique for malicious payload distribution campaigns.

The most affordable version of a code signing certificate costs $299, but the most comprehensive Extended Validation (EV) certificate with a SmartScreen reputation rating is listed for $1,599. The starting price of a domain name registration with EV SSL certificate is $349.

According to the information provided by both sellers during a private conversation, to guarantee the issuance and lifespan of the products, all certificates are registered using the

information of real corporations. With a high degree of confidence, we believe that the legitimate business owners are unaware that their data was used in the illicit activities. It is important to note that all certificates are created for each buyer individually with the average delivery time of two to four days.

Есть подпись компании на вирусе? Значит компания отвечает за этот вирус

Это в идеальном мире с розовыми пони и единорогами. В реальном мире, поскольку сертификаты продаются от ограниченного круга вендоров (симантек, комодо, thawte), дыра скорее всего не в компаниях, от имени которых выписывается сертификат, а в процедуре выдачи сертификата вендором.

ССЗБ. Всего в пи раз короче звучит и уже на порядки дольше разворачивать и сложнее поддерживать.

Короче сам сиди со стопкой каракуль на салфетках, русофил.

русофил

Я просто люблю тишину, 24 слога приближают тепловую смерть вселенной быстрее, чем 7.

на порядки дольше разворачивать и сложнее поддерживать

Фраза «склад рецептов настроек» разворачивается и поддерживается ничуть не сложнее фразы «репозиторий рецептов системы управления конфигурациями»(или как там).

Что до subj, ты забыл один факт. Судя по тексту вопрошающий принимает 1(один) сервер. Есть основания полагать, что там аж одна конфигурация, в максимум 2 версиях, вместе с бекапами. Любая «система управления» увеличит суммарную сложность поддержки минимум на свою собственную. Т.ч. ты совсем не прав.

Короче сам сиди со стопкой каракуль на салфетках

вместо нормального репозитория с разворачиваемыми рецептами.