Veriexec - это схема подписи файлов для операционной системы NetBSD.
Он вводит специальный узел устройства (/ dev / veriexec), через который список подписей может быть загружен в ядро . Список содержит пути к файлам, а также хеши и ожидаемый тип файла («DIRECT» для исполняемых файлов, «INDIRECT» для скриптов и «FILE» для разделяемых библиотек и обычные файлы). Затем ядро проверяет содержимое подписанных файлов на соответствие их хешам непосредственно перед тем, как они будут открыты в системном вызове exec ()
или open()
.
Когда Veriexec включено на уровне 0, ядро просто предупреждает о несоответствии сигнатур. На уровне 1 это предотвратит доступ к несовпадающим файлам. На уровне 2 он предотвращает перезапись или удаление подписанных файлов. На самом высоком уровне 3 ядро вообще не разрешает доступ к неподписанным файлам.