https://opennet.me/openforum/vsluhforumID3/5340.html Christian S.J. Peron предложил (http://groups-beta.google.com/group/mailing.freebsd.hackers/msg/074eec7def84c52b) провести тестирование mac_chkexec патча для FreeBSD -CURRENT и RELENG_5, дающего возможность защититься от подмены или модификации запускных файлов в системе.<br><br>В случае если для запущенной программы, библиотеки, скрипта или модуля ядра не совпадает контрольная сумма, приложение завершается с ошибкой.<br><br><br>mac_chkexec может работать в режиме самообучения (автогенерация хеша для ранее не запускавшихся программ) и режим выполнения только авторизированных запускных файлов.<br><br><br>URL: http://groups-beta.google.com/group/mailing.freebsd.hackers/msg/074eec7def84c52b<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=5230<br> https://opennet.me/openforum/vsluhforumID3/5340.html#8 Wed, 30 Mar 2005 19:37:50 GMT А что делать если перекомпиливать одну программу с внесением больших измений? каждые 5 минут перемонтировать фс? или обновлять таблицу? неоченьто уж удобно это будет для разработки, вот. https://opennet.me/openforum/vsluhforumID3/5340.html#7 Mon, 28 Mar 2005 11:01:07 GMT EPERM, а что, сложно догадаться? https://opennet.me/openforum/vsluhforumID3/5340.html#6 Mon, 28 Mar 2005 08:04:22 GMT &gt;Интересная мысль, но нуждается в доработке. <br><br>замени контрольные суммы и сделай пакость админу :) <br>&gt;Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического <br><br>&gt;обновления сумм ждать не призодится. <br><br>а не проще ли хранить тогда сами бинарники на ro системе?! Для обновления mount -u -o rw, останавливаем систему и вновь откатываемся на ro ?!<br><br>&gt;Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления <br>&gt;не нужно, то закрытая часть ключа на машине может не присутствовать. <br>&gt;А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е. <br>&gt;д.б. подписан производителем. <br>&gt;<br>&gt;В конечном счёте можно встроить такие контрольные суммы прямо в формат исполняемого <br>&gt;файла (со скриптами сложнее). <br><br>Напридумывать можно все что угодно, лучше бы разобрались с тем буреломом, который уже нарубили (это я про БЗДишников)<br> https://opennet.me/openforum/vsluhforumID3/5340.html#4 Sun, 27 Mar 2005 21:10:52 GMT Интересная мысль, но нуждается в доработке. А то такая система будет работать только до тех пор, пока гады и сволочи не просекут, что для изменённого файла надо просто пересчитать контрольную сумму и запихнуть её куда-то там.<br><br>Для начала надо хранить контрольные суммы там, где их нельзя подменить. Для этого годится файл, защищённый chflags при условии повышенного уровня секурности (впрочем, этот же метод может защитить сами файлы). Динамические обновления, вычисляемые по мере запуска новых программ, пишутся в новый файл, который потом тоже защищается флагами.<br><br>Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического обновления сумм ждать не призодится.<br><br>Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления не нужно, то закрытая часть ключа на машине может не присутствовать. А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е. д.б. подписан производителем.<br><br>В конеч https://opennet.me/openforum/vsluhforumID3/5340.html#3 Sun, 27 Mar 2005 18:27:49 GMT "Что мешает злоумышленнику нарисовать ЛЮБОЙ мыслимый хэш?" <br>:) https://opennet.me/openforum/vsluhforumID3/5340.html#2 Sun, 27 Mar 2005 17:51:20 GMT А кто говорит про использование md5?<br>Кэш-алгоритмов не хватает что-ли? https://opennet.me/openforum/vsluhforumID3/5340.html#1 Sun, 27 Mar 2005 13:18:02 GMT что мешает модифицировать злостным программам мд5 суммы?