¿Linux soporta binarios firmados?

3

Estoy buscando algo similar a lo que soporta iOS. ¿Existe en linux?

Con un arranque seguro (basado en la cadena de confianza del hardware), ¿no tiene sentido tener binarios firmados por seguridad? En realidad, si tengo la oportunidad de crear binarios firmados o agregar políticas de SElinux a todos los servicios y contenerlos tanto como sea posible, ¿cuál sería un mayor retorno de la inversión en términos de seguridad?

No estoy diciendo que se usen para el mismo propósito, sino solo en un nivel alto, cuál haría primero si tiene que establecer prioridades.

    
pregunta user220201 03.10.2016 - 22:11
fuente

2 respuestas

2
  

¿Existe en Linux?

No.

  

Si tengo la oportunidad de crear binarios firmados o agregar políticas de SElinux a todos los servicios y contenerlos tanto como sea posible, ¿cuál sería un mayor retorno de la inversión en términos de seguridad?

El primero tendría que construirse desde cero: supongo que habría más de 50,000 líneas de código dispersas entre el kernel, el enlazador y varios otros binarios. Lamentablemente, el uso de SELinux es tan divertido y igualmente rentable.

Hubo un proyecto - digsig que intentó implementar un entorno totalmente "confiable" en Linux - pero nunca fue realmente muy efectivo (solo funcionó con binarios ELF para una cosa y requeriría que construyas tu distro casi desde el principio ).

Obtendría mucho más beneficio si aprende a usar las instalaciones que ya están disponibles en lugar de rociar polvo de duendes mágicos de seguridad sobre sus servidores.

    
respondido por el symcbean 03.10.2016 - 22:45
fuente
2

Si está buscando binarios firmados, puede encontrar elfsign y elfverify para ser de interés para ti Esto no proporciona un empate en el enlazador. Es un proceso manual que escribe la firma en el encabezado de ELF. Además, sugeriría revisar la extensión de evaluación de IMA del kernel .

Ver también,

respondido por el Evan Carroll 20.11.2018 - 02:25
fuente

Lea otras preguntas en las etiquetas