• [^] # Rootkit et DigSig

    Posté par (site web personnel) . En réponse à la dépêche Savannah et Gentoo attaqués également. Évalué à 10.

    Pour les foux furieux de sécurité (ou les serveurs "sensibles"), l'outil DigSig est un module kernel qui permet de vérifier l'authenticité d'un binaire avant son exécution :

    * on signe les binaires à protéger avec l'outil bsign avec un couple clé publique/clé privée (ajout d'une signature "à la GPG" dans les headers ELF du binaire)
    * à chaque appel du syscall "exec", on vérifie la signature du binaire vis à vis de la clé publique GPG stockée sur un support fiable

    Ce système permet d'assurer l'intégrité des binaires du système et empêche l'utilisation d'une partie d'un rootkit (modification de ps, ls, netstat...).
    Mais visiblement, cela diminue les perfs du système (normal, pour chaque 'exec', on fait une vérif de signature). Avec ça, plus besoin d'avoir une vérif d'intégrité régulière, elle est fait systématiquement à chaque exécution.

    URL de DigSig : http://sourceforge.net/projects/disec/(...)