Verificação de integridade de código remoto antes da execução

Navegue suas respostas
2

Estou pensando em colocar um site on-line que poderia ser um alvo atraente para hackers ou funcionários do host, que poderiam alterar o código do site em seu benefício.

Não desejando auto-hospedagem, eu estava pensando em SSH'ing no host, fazendo o upload de um executável md5 e garantindo que o md5 sobre o código do site seja o esperado.

Mas é claro, o código pode ser alterado e revertido entre as minhas digitalizações.

Eu poderia automatizar o md5 através do SSH para que a janela para modificação seja substancialmente reduzida, mas idealmente eu gostaria que o código fosse md5'd toda vez que um visitante o utilizasse, anulando a informação dada ao visitante se a violação tivesse ocorrido.

Eu não posso colocar essa verificação de integridade no código on-line, pois ela pode ser cortada. Além disso, o código que estou vendo em um shell seguro é o mesmo que ser exibido para um visitante ...

Existe algum método reconhecido de verificação de integridade de código remoto antes da execução?

Todas as informações que li sobre assinatura de código tendem a ser durante a implantação ou o download.

    
por jontyc 10.06.2013 / 15:30

2 respostas

3

Verificar a integridade do site toda vez que ele é acessado parece ser uma maneira estranha de abordar isso.

Recomendamos que você use um sistema de monitoramento de integridade de arquivos , que verificaria seu site em relação a um 'bem conhecido ' linha de base. Estes irão muito além da simples verificação MD5 - eles normalmente usam hashes muito mais strongs, como o SHA-256, e também verificarão atributos, propriedades de segurança, etc. As verificações de integridade podem ser automatizadas e você pode programá-las para serem executadas em intervalos curtos. Qualquer bom também virá com capacidades de alerta.

Se você estiver usando o Linux, procure no Tripwire . Se você estiver no Windows, considere algo como Ionx Verisys .

Você também deve garantir que o servidor seja reforçado adequadamente. Como você vai sobre isso vai depender do seu sistema operacional.

    
por 24.07.2013 / 17:05
0

O Tripwire pode verificar as diferenças nos arquivos: link

O código hospedado deve, na prática, nunca ser modificável ao vivo. Para implantar, use um sistema de controle de versão para que qualquer alteração possa ser rastreada para uma pessoa específica. Então, durante a implantação, você pode bloquear os arquivos do site para que eles não sejam modificados.

Se você estiver realmente preocupado com um host que comprometa seus dados ou aplicativo, procure outro host.

    
por 10.06.2013 / 16:35

Tags

Instalando o CentOS 6.4 no Xen 6.0: Instalação trava em “Mudando para o clocksource hyperv_clocksource” Servidor Linux com Samba 4 como DC, filserver e netatalk (AFP para OS X)