Описание тега visas-on-arrival
Настройка подсистемы аудита для записи звонков для открытия
.
auditctl -выход,всегда -с открытой,всех,создающих,для execve
Сделать из initramfs, так что правило, когда основной системы (файл/sbin/init и
на реальную корневую файловую систему) начинается.
Обратите внимание, что то, что ты предлагаешь сделать, не принесет никакой реальной безопасности на типичной установки. Всем, кто может заменить эти файлы других версий имеет корневой доступ, а также может кормить фиктивных данных в систему логирования.
Если загрузочный носитель защищен внешне, так что корень не может изменить его (например, потому что это только для чтения или под исключительным контролем защищенный загрузчик), и при загрузке модулей ядра блокируется, то измерения файлы могут быть надежными, если это сделано правильно. Однако, если все, что вы делаете с теми мерами, сравнивает их с эталонными значениями, это более сложно и менее эффективно, чем при использовании целостности корневой файловой системы (т. е. на практике на dmcrypt, с надежными жратвы для загрузчика).