¿Linux soporta binarios firmados?

  

¿Existe en Linux?

No.

  

Si tengo la oportunidad de crear binarios firmados o agregar políticas de SElinux a todos los servicios y contenerlos tanto como sea posible, ¿cuál sería un mayor retorno de la inversión en términos de seguridad?

El primero tendría que construirse desde cero: supongo que habría más de 50,000 líneas de código dispersas entre el kernel, el enlazador y varios otros binarios. Lamentablemente, el uso de SELinux es tan divertido y igualmente rentable.

Hubo un proyecto - digsig que intentó implementar un entorno totalmente "confiable" en Linux - pero nunca fue realmente muy efectivo (solo funcionó con binarios ELF para una cosa y requeriría que construyas tu distro casi desde el principio ).

Obtendría mucho más beneficio si aprende a usar las instalaciones que ya están disponibles en lugar de rociar polvo de duendes mágicos de seguridad sobre sus servidores.

Si está buscando binarios firmados, puede encontrar elfsign y elfverify para ser de interés para ti Esto no proporciona un empate en el enlazador. Es un proceso manual que escribe la firma en el encabezado de ELF. Además, sugeriría revisar la extensión de evaluación de IMA del kernel .

Ver también,

• archivos binarios ELF de firma 2013
• extensión de evaluación de IMA 2012