Veriexec 概述
已验证执行(也称为 veriexec)是一种文件签名和验证方案,可保护 Junos 操作系统 (OS) 免受可能损害设备完整性的未经授权的软件和活动的影响。最初为 NetBSD OS 开发时,veriexec Junos OS Junos OS版本 7.5 以后默认启用。
授权文件(即随 Junos OS提供的某些文件)具有关联指纹,通过 veriexec 检查以确定文件是否可用于(执行甚至打开)。需要验证输入的应用程序无法执行或读取任何缺乏有效指纹的文件。
请注意 ,/bin/sh 不需要经过验证的输入。它可用于运行任意脚本,因为从风险角度来看,这些脚本与交互式命令相同,这些命令已经通过用户身份验证和权限控制。但是,如果已验证的 shell 脚本包含运行任意脚本的说明,也就是说,文件在清单中没有签名,将阻止执行该文件。
Veriexec 工作原理
Veriexec 为内核提供一个数字签名声明,包含一组用于所有可执行文件和其他应保持不可变文件的指纹。veriexec 加载程序只有在成功验证了该清单的数字签名之后,才能将该清单的内容馈送内核。然后内核可验证文件是否与其指纹匹配。如果 veriexec 得到实施,将仅运行具有经过验证的指纹的可执行文件。受保护的文件不能写入、修改或修改。
每个安装映像都包含一个清单。该清单为只读。它包含以下条目:
etc/rc sha1=478eeda6750c455fbfc18eeb06093e32a341911b uid=0 gid=0 mode=644 etc/rc.verify sha1=15566bb2731abee890fabd0ae8799e02071e006c uid=0 gid=0 mode=644 usr/libexec/veriexec-ext.so.1 sha1=8929292d008d12cd5beb2b9d9537458d4974dd22 uid=0 gid=0 mode=550 no_fips sbin/verify-sig sha1=cd3ffd45f30f1f9441e1d4a366955d8e2c284834 uid=0 gid=0 mode=555 no_ptrace sbin/veriexec sha1=7b40c1eae9658f4a450eb1aa3df74506be701baf uid=0 gid=0 mode=555 no_ptrace jail/usr/bin/php sha1=c444144fef5d65f7bbc376dc3ebb24373f1433a2 uid=0 gid=0 mode=555 indirect no_fips usr/sbin/chassisd sha1=61b82b36da9c6fb7eeb413d809ae2764a8a3cebc uid=0 gid=0 mode=555 trusted
如果文件已修改,并且产生的指纹与清单中的指纹不同,您将看到日志消息,例如以下示例:
/kernel:veriexec:fingerprintfordev100728577,file70750 64ea873ed0ca43b113f87fa25fb30f9f60030cec!= 0d9457c041bb3646eb4b9708ba605facb84a2cd0
日志消息的格式如下:
/kernel:veriexec:fingerprintfordev<deviceid>,file<fileid><calculatedfingerprint>!= <fingerprintinthemanifest>
指纹不匹配表示文件已修改。不要试图运行此文件。其中可能包含损坏的代码。联系 JTAC。
Veriexec 的重要性
Veriexec 是一种有效且重要的工具,能够抵御那些试图破坏路由器、交换机和防火墙瞻博网络系统安全性的行为。它可阻止可能想在系统上立足、获得持久未经授权的访问或以其他方式将系统过渡到故障状态的威胁执行者。如果此类参与者可能运行任意未签名的二进制文件,他们可以进行未经授权的修改并运行违反安全策略的恶意软件或其他代码。
客户可添加已签名和授权代码,并采用 veriexec Junos OS使用应用程序JET SDK。有关该开发人员SDK,请参阅"开发人员 指南 "瞻博网络 扩展工具包 标题。
如何验证正在运行的设备上是否实施 Veriexec Junos OS
以下小节提供如何检查是否实施 veriexec 的过程。
某些Junos OS平台提供了可选版本的 Junos OS veriexec 实施已禁用(称为 Junos 增强型自动化或 Junos Flex)。有关增强型自动化Junos,请参阅 无链接标题。
使用 sysctl security.mac.veriexec.state 命令Junos OS版本 15.1 和更高版本
管理员可以检查 veriexec 是否通过运行来自 Junos OS CLI shell 的命令执行:
启动 shell。
username@hostname> start shell %
使用
sysctl security.mac.veriexec.state命令。% sysctl security.mac.veriexec.state security.mac.veriexec.state: loaded active enforce %
如果执行 veriexec,输出为
security.mac.veriexec.state: loaded active enforce。如果未实施 veriexec,输出为security.mac.veriexec.state: loaded active。
命令 security.mac.veriexec.state 在 15.1 Junos OS中才有效。
检查 Veriexec 是否工作的另一种方式
您可以将授权文件(此处为 /usr/bin/id)复制到新位置,以确认 veriexec 是否正在工作,如下所示。Veriexec 阻止操作,因为尽管 /usr/bin/id存在有效的指纹,但即使文件相同,也没有 /tmp/id 的指纹。正在发生的事情是 veriexec 评估此文件的底层 Linux 属性,在复制后不相同,而不是文件本身。
启动 shell。
username@hostname> start shell #
更改目录,然后将示例文件 /usr/bin/id 复制到新位置。
# /usr/bin/id uid=928(username) gid=20 groups=20,0(wheel),10(field) # cp /usr/bin/id /tmp
结果
如果实施 veriexec,将显示认证错误。如果还没有,文件将正常运行。
强制实施 veriexec 时的输出(文件将被阻止):
# /tmp/id /bin/sh: /tmp/id: Authentication error #
未执行 veriexec(复制文件)时的输出:
# /tmp/id #
支持 Veriexec 的 SRX 系列设备的加载程序
支持 veriexec 的加载程序Junos OS TFTP 服务器或 USB 存储设备中的 命令安装 install 安全映像。
使用 Junos OS 命令从 tftp 服务器安装
install tftp://[host]/Junos OS 映像。loader> install tftp://[host]/package
使用 Junos OS 命令从 USB 存储设备中安装
install file:///Junos OS 映像。loader> install file:///package
支持 veriexec 的加载程序将验证Junos OS映像。支持 veriexec 的加载程序仅启动具有指纹Junos OS新映像,并且不会在无指纹或内核Junos OS现有 Junos OS映像。您可以使用 功能 nextboot 检查当前启动设备。
username@hostname# nextboot
Platform: srx-sword
eUSB
usb
current bootdev is: eUSB
Bootupgrade 是应用程序包Junos OS工具,支持 BIOS 固件升级。您可以使用 命令 bootupgrade 升级、检查 uboot、手动加载和安装支持 veriexec 的较大加载程序。命令 bootupgrade -c loader 打印当前加载程序的版本字符串。
在将支持 veriexec 的加载程序安装到映像Junos OS之前,Junos OS在两个双根分区中执行一个指纹识别。只有在两个双根分区都使用Junos OS指纹时,才允许安装支持 veriexec 的加载程序。
从外壳安装支持 veriexec 的Junos OS CLI程序:
启动 shell。
username@hostname> start shell %
-
使用
bootupgrade -l /boot/veloader命令安装支持 veriexec 的加载程序。% bootupgrade -l /boot/veloader Checking Loader CRC... veloader size 1251641 OK
您可以在此看到不同的场景:
对于Junos OS及20.3R1,请使用
request system software add /var/tmp/xxx.tgz no-copy no-validate命令安装指纹Junos OS的客户端。username@hostname> request system software add /var/tmp/junos-srxsme-20.4I-20200810_dev_common.0.0833.tgz no-copy no-validate Formatting alternate root (/dev/ad0s2a)... /dev/ad0s2a: 600.0MB (1228732 sectors) block size 16384, fragment size 2048 using 4 cylinder groups of 150.00MB, 9600 blks, 19200 inodes. super-block backups (for fsck -b #) at: 32, 307232, 614432, 921632 Installing package '/altroot/cf/packages/install-tmp/junos-20.4I-20200810_dev_common.0.0833' ... Verified junos-boot-srxsme.tgz signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256 Verified junos-srxsme-domestic signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256 Verified manifest signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256 WARNING: The software that is being installed has limited support. WARNING: Run 'file show /etc/notices/unsupported.txt' for details. JUNOS 20.4I-20200810_dev_common.0.0833 will become active at next reboot WARNING: A reboot is required to load this software correctly WARNING: Use the 'request system reboot' command WARNING: when software installation is complete Saving state for rollback ...-
对于 20.3R1 之前的 Junos OS 版本,如果使用支持 veriexec 的加载程序,并且之前版本的目标 Junos OS 映像不受支持 veriexec 的加载程序支持,则使用 命令自动从支持 veriexec 的加载程序降级至旧加载程序。
request system software add /var/tmp/xxx.tgz no-copy no-validateusername@hostname> request system software add /var/tmp/junos-srxsme-19.4R1.3.tgz no-copy no-validate WARNING: Package junos-19.4R1.3 version 19.4R1.3 is not compatible with current loader WARNING: Automatic recovering loader, please wait ... Upgrading Loader... ##################################### Verifying the loader image... OK WARNING: The new boot firmware will take effect when the system is rebooted. WARNING: Loader recover finish. Formatting alternate root (/dev/ad0s1a)... /dev/ad0s1a: 598.5MB (1225692 sectors) block size 16384, fragment size 2048 using 4 cylinder groups of 149.62MB, 9576 blks, 19200 inodes. super-block backups (for fsck -b #) at: 32, 306464, 612896, 919328 Installing package '/altroot/cf/packages/install-tmp/junos-19.4R1.3' ... Verified junos-boot-srxsme-19.4R1.3.tgz signed by PackageProductionEc_2019 method ECDSA256+SHA256 Verified junos-srxsme-19.4R1.3-domestic signed by PackageProductionEc_2019 method ECDSA256+SHA256 Verified junos-boot-srxsme-19.4R1.3.tgz signed by PackageProductionEc_2019 method ECDSA256+SHA256 V erified junos-srxsme-19.4R1.3-domestic signed by PackageProductionEc_2019 method ECDSA256+SHA256 JUNOS 19.4R1.3 will become active at next reboot WARNING: A reboot is required to load this software correctly WARNING: Use the 'request system reboot' command WARNING: when software installation is complete Saving state for rollback ... -
使用
request system software add /var/tmp/xxx命令检查 Junos OS 软件包是否与安装兼容。username@hostname> request system software add /var/tmp/junos-srxsme-19.4R2.3.tgz WARNING: Package junos-19.4R2.3 version 19.4R2.3 is not compatible with this system. WARNING: Please install a package with veloadr support, 20.3 or higher.
安装终止,因为之前版本不支持支持 veriexec Junos OS加载20.3R1。