Есть ли способ указать в таблице, какие исполняемые файлы (с помощью местоположений и хэшей )разрешено запускать в Debian?
Ничего, поверь, я нашел решение:
ssh root@192.168.X.X "nohup fstrim /data > /dev/null &"
- Говоря о проверке файлов:
Есть
- фс -правдаhttps://www.kernel.org/doc/html/latest/filesystems/fsverity.html
- дм -правдаhttps://www.kernel.org/doc/html/latest/admin-guide/device-mapper/verity.html
Проблема в том, что я не знаю никаких руководств/как -настроить первое, а второе, насколько я знаю, реализовано только в Android.
Затем есть такие инструменты, как AIDE, Tripwire (больше не разрабатываемые ), mugsy , SAMHAIN , но все они в основном являются мониторами, а не чем-то, что имеет требуемую мощность для остановки/разрешения запуска приложений на основе их хэш-сумм.
Наконец, давайте подумаем об этом самом файле, в котором вы собираетесь хранить хэш-суммы файлов. Я предполагаю, что причина, по которой вы хотите это сделать, заключается в том, чтобы избежать запуска программного обеспечения, которое было изменено за вашей спиной, но если это произошло, злоумышленник полностью скомпрометировал вашу систему и может изменить содержимое файла, в котором вы храните все данные и все ваши защита стала неэффективной, что означает, что fs -verity/dm -verity, к сожалению, являются единственным путем вперед, но оба они также требуют хранилища только для чтения -и глубокой блокировки системы, поскольку злоумышленник может перемонтировать ваше хранилище в режиме чтения и записи и снова сделать вашу защиту бесполезной.
- Что касается разрешения запускать только определенные приложения:
Я не знаю готовых решений, но это можно сделать
Изменение требуемых прав доступа к каталогам с 755 на 750, а затем копирование всех разрешенных приложений по специальному пути, доступному пользователю, например. /usr/local/allowbin
Написание оболочки sudo, которая будет проверять запущенное приложение на соответствие указанному вами файлу разрешений, а затем разрешать/запрещать его выполнение на основе этого.
Создание chroot-тюрьмы .
TLDR Насколько мне известно, для настольных Linux нет готовых решений ни для одной из ваших проблем.