← retour aux snippets

fsverity: activer la vérification immuable d'un fichier

Sceller un fichier (hash Merkle) pour détecter toute altération lors de la lecture.

objectif

Garantir l’intégrité de binaires/artefacts distribués sur un FS compatible (ext4/f2fs).

code minimal

sudo fsverity enable --digest-alg sha256 --salt random.bin /usr/local/bin/myapp

utilisation

# vérifier
fsverity measure /usr/local/bin/myapp

variante(s) utile(s)

# lister les fichiers protégés (ext4)
sudo debugfs -R 'lsattr -R /' /dev/sdaX 2>/dev/null | grep verity || true

notes

  • nécessite kernel/FS compatibles et fsverity-utils.
  • lecture seule; mise à jour = rescellement.