Tengo un par de certificados de firma de código X.509 y un par de llaves GPG que puedo usar para firmar contra el código que corro en mi VPS. De vez en cuando escribo código para iOS, OS X y Windows y siempre me aseguro de firmar mis binarios con mis certificados X.509. Sin embargo, me gustaría asegurarme de que todo lo que corro en mi VPS (en lo que respecta a los scripts PHP / Django y quizás incluso el Javascript que envío a un cliente) también esté firmado.
Simplemente podría escribir un script bash que firme todos los archivos en un directorio con mi par de llaves GPG, pero mi problema es el hecho de que si el código no se firmó, no genera ningún problema adicional. errores que si se firmó correctamente, por lo que para proteger mi servidor de enviar / ejecutar scripts maliciosos que no he autorizado explícitamente, ¿hay alguna manera de que pueda usar mi par de llaves GPG (o incluso mis certificados X.509)? y ASEGURAR todo el código de un directorio particular, por ejemplo, siempre se comprueba para una firma válida antes de la ejecución?
Para lanzar una llave aún más lejos en el trabajo, ¿cómo podríamos 'hacer de forma efectiva' esto de manera tal que los scripts maliciosos colocados fuera del alcance de la verificación forzada no pudieran interferir? Por ejemplo, si se 'marcó' un directorio que requiere firmas forzadas en todos los archivos, ¿sería posible que los archivos que se encuentran fuera de este directorio se utilicen para eludir las firmas de código e interferir con la aplicación o los scripts?
No estoy realmente interesado en el algoritmo de firma, los scripts frente a los binarios o el sistema operativo, pero para la aplicación a la que se aplicaría, sería contra los scripts de python / django o PHP que se ejecutan en un VPS de Debian (para el fines de las aplicaciones web).
¡Solo un pensamiento interesante, uno que sin duda me gustaría seguir si existe una solución adecuada! Ideas o discusión es muy apreciada!