Pa ako neko ima pristup tom direktorijumu, može da izmeni taj fajl gde ti je kontrola, ne vidim baš svrhu.

Tripwire sluzi za tako nesto ;)

Doduse ne BLOKIRA, samo prijavi, ali ti na taj alert mozes da radis svasta. Idealno ces uvuci taj alert u neki SIEM (tipa Splunk), pa ces onda da napravis akciju dalje, recimo mozes da, ako imas configuration management (npr. puppet), automatski okines reconfig, koji onda ode na sve servere koji drze taj sajt. :)

Evo, ceo stack predlozih.

Kao sto je receno, nije sigurno da hash drzis na sajtu. Ali mozes napraviti f-ju koja vraca trenutni hash, pa ti snimi kod sebe i onda sledeci put kad pozoves istu sa te neke x stranice proveri da li se poklapa.

Nasao sam besplatno resenje, ipak moram da iskalkulisem jer oduzima previse vremena, od poziva funkcije do pristupa sajtu.

Tripwire radi drugacije: On hash drzi van sajta, negde u /var. Dodatno, naravno, ako se podesi SELinux context tako da web server nema pristup tom delu filesystem-a, miran si i imas realtivno dobro resenje.

mogu da drzim hash van html_public ili na nekom sigurnijem mestu. Mora da postoji sajt koji besplatno cuva takve ključeve.

Svejedno gde čuvaš checksum, ako ti je program koji poredi checksum u samom direktorijumu koji se proverava, onda i nema puno smisla, zar ne?

A, osim ako PHP nije poceo da se kompajlira, moze i da ti ukloni samu proveru, gde god da je hash :)

Nije u pitanju samo server, sad sam razmislio, pored svog sajta, predpostavljam da će celokupan kod biti dostupan za druge servere u formi zip paketa, pa na localhost ili neki server, da neko drugi digne sajt, pa da bi koliko toliko zaštitio neartikulisano dodavanje raznih opcija i fajlova. Mada će sve biti dostupno pod CC BYSA licencom. Što znači, ko razume zaštitu, razumeće i ceo kod i moći će da budži.

revlo

To se resava na nivou OS, npr. Windows Authenticode za CIL (.NET) izvrsne fajlove, NetBSD veriexec itd.