3 votes

TH. avatar

Exécutables signés sous Linux (ou autres OS)

Demandé el 14 de Novembre, 2009
Quand la question a-t-elle été
1040 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Cette question a été posée en premier lieu à stackoverflow . Après 60 vues, je n'ai obtenu qu'une seule réponse. Maintenant, j'essaie défaut du serveur - c'est un sujet pertinent pour ici, je suppose.

Pour des raisons de sécurité, il est souhaitable de vérifier l'intégrité du code avant son exécution, éviter les logiciels trafiqués par un attaquant. Donc, ma question est la suivante

Comment signer le code exécutable et n'exécuter que des logiciels de confiance sous Linux ?

J'ai lu les travaux de van Doom et al. sur la conception et la mise en œuvre d'exécutables signés pour Linux, ainsi que ceux d'IBM. TLC (Trusted Linux Client) par Safford & Zohar. TLC utilise le contrôleur TPM, ce qui est bien, mais l'article date de 2005 et je n'ai pas pu trouver d'alternatives actuelles.

Connaissez-vous une autre option ?

UPDATE : Et les autres systèmes d'exploitation ? OpenSolaris ? La famille BSD ?

Demandé el 14 de Novembre, 2009 par TH.

Réponses

Trop de publicités?

2voto

Gibbons avatar
Gibbons Points 101

Solaris a elfsign(1) qui attache des certificats X.509 aux binaires ELF. Sun a signé la plupart, sinon la totalité, des binaires qu'il distribue, mais je ne sais pas comment faire en sorte que Solaris n'exécute que des binaires signés. Il y a elfsign y bsign pour Linux, mais aucun n'a été maintenu récemment.

Répondu el 14 de Novembre, 2009 par Gibbons (101 Points )

0 votes

Avatar de Gibbons

OpenSolaris obtiendra bientôt un support permettant de n'exécuter que des binaires signés. c0t0d0s0.org/archives/6188-Securitecture-Avenir-PSARC-cas.html

Commenté el 10 de Décembre, 2009 par Gibbons

1voto

user11318 avatar
user11318 Points 4804

Jetez un coup d'œil à DigSig

Répondu el 14 de Novembre, 2009 par user11318 (4804 Points )

0voto

Richard Poole avatar
Richard Poole Points 2410

SeLinux peut fournir ce que vous recherchez.

Répondu el 14 de Novembre, 2009 par Richard Poole (2410 Points )

0voto

Evan Anderson avatar
Evan Anderson Points 140581

Windows avait Politiques de restriction des logiciels et, plus récemment, a ajouté AppLocker pour appliquer des contrôles d'accès basés sur des signatures à l'exécution du code. (Internet Explorer a également eu Authenticode depuis un certain temps, mais il s'agit moins d'un mécanisme général de validation de la signature d'un exécutable que d'un mécanisme destiné au code interne du navigateur).

L'application de l'exécution d'exécutables signés est certainement une bonne chose, mais ce n'est pas une panacée (comme nous l'avons vu avec les consoles de jeux vidéo qui utilisent fortement la signature de code pour l'application des licences de développement). Les vulnérabilités des exécutables signés dues à une mauvaise validation des entrées non fiables permettent toujours l'exécution de code arbitraire. Cela dit, la signature de code ajoute une couche supplémentaire de sécurité.

Répondu el 14 de Novembre, 2009 par Evan Anderson (140581 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X