NIST 800-53 rev 4 CM-7 (2) declara:
(2) FUNCIONALIDAD MENOS | Prevenir la ejecución del programa El sistema de información emplea mecanismos automatizados para evitar la ejecución del programa de acuerdo con [Selección (uno o más): programas de software autorizados; programas de software no autorizados; normas que autorizan los términos y condiciones de uso del programa de software].
¿Qué mecanismos automatizados existen en Linux para evitar la ejecución de programas específicos? Entiendo que los permisos DAC de Linux se pueden usar a un alto nivel para restringir la ejecución de todos los programas, pero eso no es una implementación de lista blanca / lista negra. También soy consciente de que se podría usar una implementación de política estricta de SELinux para satisfacer una lista blanca al exigir que se definan políticas para cada solicitud aprobada. ¿Hay alguna otra opción que sea menos onerosa que la política estricta de SELinux (que es un esfuerzo considerable para implementar en una configuración de política estricta)?