我正在考虑在网站上放置一个网站,这个网站可能成为黑客或主机雇员的一个有吸引力的目标,他们可以改变网站的代码,以利于他们的利益。
不希望自我托pipe,我正在考虑SSH到主机,上传一个MD5的可执行文件,并确保在网站的代码md5是预期的。
但是,当然,代码可以在我的扫描之间进行修改和恢复。
我可以通过SSH自动化md5,所以修改的窗口大大缩小,但理想情况下,我希望每次访问者使用该代码时都要使用md5'd,如果发生篡改,则禁止向访问者提供的信息。
我不能把这样一个完整性检查在网上的代码,因为它可能被黑掉。 另外,我在一个安全的shell中看到的代码与提供给访问者的代码是一样的。
执行前是否有任何可识别的远程代码完整性检查方法?
我在代码签名上读到的所有信息往往是在部署或下载过程中。
每次访问时检查网站的完整性似乎是一个奇怪的方法来解决这个问题。
我build议你使用一个文件完整性监控系统,它会检查你的网站对“已知”的基准。 这些将比简单的MD5检查更进一步 – 他们通常使用更强大的哈希,如SHA-256,并将检查属性,安全属性等。 完整性检查可以自动进行,您可以安排它们在短时间内运行。 任何好的也将带有警报function。
如果您使用的是Linux,请查看Tripwire 。 如果你在Windows上,考虑一下像Ionx Verisys 。
你也应该确保服务器适当的硬化 。 你如何去做这将取决于你的操作系统。
Tripwire可以检查文件的差异: http : //www.tripwire.org/
托pipe代码应该在实践中永远不可修改的生活。 要进行部署,请使用版本控制系统,以便可以跟踪特定人员的任何更改。 然后在部署期间,您可以locking网站的文件,以便无法修改。
如果您真的担心主机会危及您的数据或应用程序,那么我会寻找另一台主机。