Pour les foux furieux de sécurité (ou les serveurs "sensibles"), l'outil DigSig est un module kernel qui permet de vérifier l'authenticité d'un binaire avant son exécution :
* on signe les binaires à protéger avec l'outil bsign avec un couple clé publique/clé privée (ajout d'une signature "à la GPG" dans les headers ELF du binaire)
* à chaque appel du syscall "exec", on vérifie la signature du binaire vis à vis de la clé publique GPG stockée sur un support fiable
Ce système permet d'assurer l'intégrité des binaires du système et empêche l'utilisation d'une partie d'un rootkit (modification de ps, ls, netstat...).
Mais visiblement, cela diminue les perfs du système (normal, pour chaque 'exec', on fait une vérif de signature). Avec ça, plus besoin d'avoir une vérif d'intégrité régulière, elle est fait systématiquement à chaque exécution.
[^] # Rootkit et DigSig
Posté par Foxy (site web personnel) . En réponse à la dépêche Savannah et Gentoo attaqués également. Évalué à 10.
* on signe les binaires à protéger avec l'outil bsign avec un couple clé publique/clé privée (ajout d'une signature "à la GPG" dans les headers ELF du binaire)
* à chaque appel du syscall "exec", on vérifie la signature du binaire vis à vis de la clé publique GPG stockée sur un support fiable
Ce système permet d'assurer l'intégrité des binaires du système et empêche l'utilisation d'une partie d'un rootkit (modification de ps, ls, netstat...).
Mais visiblement, cela diminue les perfs du système (normal, pour chaque 'exec', on fait une vérif de signature). Avec ça, plus besoin d'avoir une vérif d'intégrité régulière, elle est fait systématiquement à chaque exécution.
URL de DigSig : http://sourceforge.net/projects/disec/(...)