Il linux supporta i binari firmati?

4

Sto cercando qualcosa di simile a ciò che supporta iOS. Esiste in linux?

Con un avvio sicuro (basato sulla catena di affidabilità hardware), non ha senso disporre di binari firmati per la sicurezza? In realtà, se ho l'opportunità di fare binari firmati o aggiungere politiche SElinux a tutti i servizi e contenerli il più possibile, quale sarebbe un ROI più grande in termini di sicurezza?

Non sto dicendo che sono usati per lo stesso scopo, ma solo ad un livello elevato che si dovrebbe fare per primo, se si deve dare la priorità.

    
posta user220201 03.10.2016 - 22:11
fonte

2 risposte

3

Se stai cercando i binari firmati, potresti trovare elfsign e elfverify come di interesse per te. Questo non fornisce un collegamento per il linker. È un processo manuale che scrive la firma nell'intestazione ELF. Inoltre, suggerirei di controllare l'estensione per la valutazione IMA del kernel .

del kernel

Vedi anche

risposta data 20.11.2018 - 02:25
fonte
2

Does it exist in linux?

No.

if I have an opportunity to do signed binaries or add SElinux policies to all services and contain them as much as possible which one would be a bigger ROI in terms of security?

Il primo dovrebbe essere costruito da zero - immagino su più di 50.000 righe di codice sparse tra il kernel, il linker e vari altri binari. Usare tristemente SELinux è divertente e allo stesso tempo economico.

C'era un progetto - digsig che tentava di implementare un ambiente completamente "fidato" su Linux - ma non era mai veramente molto efficace (funzionava solo con i binari ELF per una cosa, e richiedeva di costruire la tua distribuzione praticamente da zero ).

Avrai molto più beneficio dall'imparare a utilizzare le strutture già disponibili rispetto a spolverare la polvere magica di pixie sui tuoi server.

    
risposta data 03.10.2016 - 22:45
fonte

Leggi altre domande sui tag