Linux компилируется от открытого исходного кода, и тысячи разработчиков определили бы любой злонамеренный исходный код. Однако много Windows двойной загрузки пользователей Linux и вредоносного программного обеспечения / шпионское ПО / программное обеспечение (CIA) изделия "призрака" могло взломать скомпилированные двоичные файлы Linux после того, как чистая версия была установлена.
Решение я думаю, состоит в том, чтобы выполнить контрольную сумму на двоичных файлах Ядра Linux сразу после того, как обновление установлено, т.е. на 4.4.0-63-универсальном.
Вопрос - какие файлы должны быть включены? т.е./boot/4.4.0-63-generic или больше, чем это?
После того, как контрольная сумма сгенерирована a cron
задание может быть выполнено ежемесячно, еженедельно или ежедневно повторно создавать контрольную сумму и сравнивать ее с исходной версией, чтобы гарантировать, что она не изменилась. Если контрольные суммы не соответствуют заражению, произошел, и должно быть переустановлено чистое ядро.
Отредактируйте 1, ответы до сих пор больше похожи на комментарии. В тех ответах и комментариях ниже, кажется, говорится, что "ЦРУ слишком умно и слишком богато для защиты себя, так не потрудитесь пробовать". Если я считал, что прямо тогда все ответы могли бы также быть записаны одним ЦРУ, NSA, МИ6 или Mossad, заплаченный сообщения-розыгрыши или кого-то на платежной ведомости призрака. Аналогия была бы "Вашими преступниками района, слишком умны и сложны. Они наблюдают Ваш дом и изучают Ваши привычки. Нет никакого смысла блокирующего Ваши двери или устанавливающий систему аварийной сигнализации".
Кто-то еще говорит, после того как Вы перезагружаете с Windows пароль, Вы раньше шифровали Ваши контрольные суммы, может быть считан шпионским ПО. Я сомневаюсь, что, потому что место Windows RAM больше, чем место RAM Linux и загружающиеся окна, вытер бы любую ценную доступную для поиска RAM, которую, возможно, оставил позади Linux. Помимо простого 10-секундного питания прочь стер бы всю RAM.
В противоположном конце спектра кто-то предложил, "Не используют Windows". Гм... не я не скроюсь в страхе и избегу платформ, которые я должен использовать, когда я должен использовать их. Это - супер быстрый ноутбук с гибридной графикой Nvidia и когда время для Windows, играющего его, будет использоваться как таковой.
- Это - больше, как Вы сделали бы это, но с обновлением ядра необходимо будет, очевидно, повторно выполнить хеш, для создания нового. Но что, если бы Вы забыли повторно выполнять его, что произошло бы затем?
С обновлением ядра совершенно новое ядро установлено на /boot
. Если Вы забудете выполнять задание для создания новых контрольных сумм затем задание крона, которое выдерживает сравнение, то общие количества дадут Вам ошибку тот же путь, как будто кто-то изменил двоичные файлы ядра за Вашей спиной.
Фактический дизайн сценариев и шифрование контрольных сумм происходят позже. Мы помещаем корзину перед лошадью. Шаг кулака должен определить что потребности быть защищенным. Это - NAA (Не Ответ) для регистрации вопросов на, "как Вы сделали бы это?" встроил в ответ.
Частично отвечая на мой вопрос в дополнение к рабочим контрольным суммам на изображениях Ядра, выбранные драйверы должны быть включены. Конкретно я думаю о том, где они могут выключить питание к led's веб-камеры предоставление иллюзии, они выключены и затем активация камеры. Что-то похожее с микрометром, возможно?
Удаление всего предположения на том, должны ли Вы или не должны контролировать несанкционированные модификации к своему пространству ядра - какие двоичные файлы должны быть защищены от внешнего вмешательства?
Единственный способ избежать этого сценария - избежать двойной загрузки: избавиться от Windows. Конечно, если вы считаете, что ЦРУ не может установить вредоносное ПО, которое будет скрываться в системе Linux для настольных компьютеров и ноутбуков, вы недостаточно параноики ...
Узнайте, как заставить работать grub, и настройте его так, чтобы загружать дистрибутивы linux, которые хранятся в архивах .iso при каждой загрузке. Держите свой компьютер Windoze дома и разрешайте ему общаться только через прямое жесткое соединение, с коробкой linux, которой вы разрешаете общаться с Интернетом при каждой загрузке, и настраивайте всю интернет-активность удаленно, через систему linux, которая инициализируется каждый раз оно загружается. Для тех, кто гиперпараноидален, сделайте загрузочные флешки, которые вы держите в кармане, и отключите загрузку с USB, когда вы выходите из дома, на устройстве linux. Все задействованные блоки будут защищены паролем, конечно же, на уровне BIOS! ; ^)
Вот выборка других двоичных файлов ядра для защиты, кроме тех, что описаны в /boot
:
$ ls /lib/modules/4.9.13-040913-generic/
build modules.alias.bin modules.dep.bin modules.symbols
initrd modules.builtin modules.devname modules.symbols.bin
kernel modules.builtin.bin modules.order updates
modules.alias modules.dep modules.softdep vdso
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel
arch crypto drivers fs kernel lib mm net sound virt
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel/drivers
acpi dca hwmon mcb nvme rapidio uio
ata dma hwtracing md nvmem regulator usb
atm edac i2c media parport reset uwb
auxdisplay extcon iio memstick pci rtc vfio
base firewire infiniband message pcmcia scsi vhost
bcma firmware input mfd phy spi video
block fmc iommu misc pinctrl spmi virtio
bluetooth fpga ipack mmc platform ssb vme
char gpio isdn mtd power staging w1
clk gpu leds net powercap target watchdog
cpufreq hid lightnvm nfc pps thermal xen
crypto hsi macintosh ntb ptp thunderbolt
dax hv mailbox nvdimm pwm tty
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel/drivers/net/ethernet/realtek/
8139cp.ko 8139too.ko atp.ko r8169.ko
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$
Рекурсивный алгоритм необходим для получения моментального снимка md5sum (или любого хэш-кода безопасности, который вы предпочитаете) из всех вложенных элементов каталоги и файлы в каталоге /lib/modules/kernel_version/*
Возможно, есть и другие двоичные файлы, но я хотел опубликовать ответ о том, что было обнаружено до сих пор.