Какие хранилища пакетов дистрибутива Linux безопасны и которые не являются?

Я согласовываю со всем другие, и я должен сказать, что APUE Stevens (у меня есть второй выпуск), классик. Я также хотел бы добавить что Eric Raymond Искусство UNIX, Программируя право разрядов там с Stevens в моем списке.

14
08.07.2011, 01:19
6 ответов

Это не прямой ответ на Ваш вопрос, но существует несколько вещей, которые можно сделать для смягчения против этого риска. Самый простой должен проверить Ваши загруженные пакеты по контрольным суммам от другого зеркала, чем Вы загрузили с.

Когда мой диспетчер пакетов (poldek) загружает пакет, у меня есть он набор для хранения копии загруженного об/мин в папке кэша. Это автоматически проверяет контрольную сумму загрузки против хранилища пакетов и предупреждает/прерывает о несоответствии, но если бы Вы волновались по поводу man-in-the-middle, на который нападают против Вашего репозитория дистрибутива, то было бы легко записать вторичный сценарий, который просмотрел все Ваши загруженные пакеты, и проверьте их против контрольных сумм, которые Вы загружаете с другого зеркала. Можно даже выполнить первую установку как пробный прогон так, чтобы пакеты были загружены, но не установили, затем запустили скрипт проверки, затем сделайте фактическую установку.

Это не мешает поставленному под угрозу пакету войти в репозиторий дистрибутива, но большинство дистрибутивов имеет другие способы смягчить это, и даже подписанные пакеты не гарантировали бы, что это никогда не было проблемой. То, что это действительно делает, душат целенаправленный вектор атаки "человек посередине". При помощи отдельного источника и загружающий на отдельном канале, Вы уничтожаете простоту, с которой поставленный под угрозу пакет мог быть брошен в коснувшуюся строку.

7
27.01.2020, 19:50
  • 1
    , Там пакет для позвонившего Arch paccheck это делает это, сравнивает пакеты с различными зеркалами перед установкой и предупреждает о любых несоответствиях. –  Wolf 08.07.2011, 15:00
  • 2
    Зеркальные списки, вероятно, общедоступны, так не можете, взломщик мог теоретически вывести на печать к MITM всех их шаблоном? Если взломщик конкретно нацелен на Ваш сервер, затем не делает это кажется еще более вероятным? Тем не менее, это по всей вероятности больше затем, что большинство Linux делают. –  n611x007 03.12.2014, 16:44

Пакеты Debian проверены суммированием, и контрольные суммы подписываются ключом в брелоке для ключей Debian. apt диспетчер пакетов гарантирует, что загруженный пакет имеет корректную контрольную сумму и что файл контрольной суммы был подписан правильно.

10
27.01.2020, 19:50

Пакеты Fedora подписываются и проверены суммированием. Даже репозитории сторонних производителей, такие как rpmfusion подписывают свои пакеты.

Конфетка (диспетчер пакетов) требует специального флага (--nogpgcheck) устанавливать пакеты, которые не были подписаны.

5
27.01.2020, 19:50
  • 1
    и также - downsteam пакеты т.е. Red Hat и CentOS –  fpmurphy 09.07.2011, 17:35

Все пакеты Linux Дуги используют md5 или сумму sha1, чтобы проверить, что все биты существуют. Это до специалиста по обслуживанию пакета для выбора алгоритма хеширования. Пакеты, установленные из АУРА (часто просто небольшой текстовый файл PKGBUILD), как предполагается, проверяются installee прежде чем быть установленным. Репозитории, содержащие официальные двоичные пакеты, контролируются доверяемыми пользователями (TUs).

Обновление: Дуга теперь начала пакет, подписывающийся с pacman 4

3
27.01.2020, 19:50
  • 1
    Все верные, но пакеты не подписываются и поэтому остаются уязвимыми для mitm и зеркально отражают нападения компромисса, однако удаленные возможность. Это была долго требуемая функция и главная причина, почему я неохотно прекратил использовать Arch. Тем не менее существует продолжающаяся дискуссия об этом на форумах Arch и Pacman и Wiki - это - трудная проблема для решения. Кроме этой проблемы, Arch является фантастическим дистрибутивом. –  Eli Heady 08.07.2011, 03:28
  • 2
    @Eli: я не обсуждаю истину этого - я понятия не имею о положении дел - но не был бы оно быть очень тонким рынком для нападения. Предоставленный, Arch является вполне популярным дистрибутивом, но не является всеми этими типами вреда, обычно утверждаемого на способность заработать? –  boehj 08.07.2011, 03:39
  • 3
    Несомненно, в конце концов, это - причина, база пользователей Windows предназначена больше, чем тот из Linux, правильно? Вещь, что относится к агрегату, обычно точно не относится к человеку. То, что я имею в виду, является общей моделью угрозы, отличается - если у Вас есть причина бояться быть выбранным за нападение, необходимо сделать соответствующие шаги для уменьшения риска. Отсутствие пакета, подписывая векторы атаки подарков, которые не являются всем это трудно для использования. Если у Вас есть ценные биты для защиты, эта проблема должна быть принята во внимание в стратегии снижения угрозы. –  Eli Heady 08.07.2011, 04:10
  • 4
    Вы могли установить Arch с CD/DVD и затем просто заботиться, чтобы проверить, что md5/sha1 суммы двоичных пакетов соответствуют суммам от нескольких зеркал перед установкой, подобной какой предложенный Caleb. В любом случае никогда нет 100%-й безопасности, даже при том, что я действительно вижу точку подписания пакета и жаль, что у Arch не было его. –  Alexander 08.07.2011, 15:37
  • 5
    поэтому, как это достигается, что контрольная сумма обеспечивается более безопасным способом который открытый текст http или ftp? проверка подписи должна существовать, какими средствами это происходит на дуге точно? –  n611x007 03.12.2014, 16:48

OpenBSD и далеко. Весь проект выделен вокруг безопасности, команды даже поднимают 5000 + патч строки к исходным апачам, потому что они не чувствовали, что это было достаточно безопасно, чтобы использоваться. Это через pkg_add, но у меня никогда не было проблем с ним.

-2
27.01.2020, 19:50
  • 1
    Вы не отвечаете на вопрос: это конкретно о проверке подписей загруженных пакетов (и порты, в случае *BSD). –  Gilles 'SO- stop being evil' 09.07.2011, 15:30
  • 2
    , который я согласовываю с @Gilles; OpenBSD является большая ОС, но @grm, который спрашивают о безопасности распределения пакета Linux. –  livingstaccato 03.02.2013, 21:03

Кто сказал, что Slackware не имеет никакого подписания пакета?

Пакеты Slackware подписываются с открытым ключом Slackware. Таким образом, каждый пакет имеет свою подпись с расширением .asc. Не только пакеты, но и другие файлы также подписываются, как CHECKSUMS.MD5. Это содержит список контрольных сумм пакетов.

Дистрибутиву назвали официальный инструмент slackpkg для загрузки/установки пакетов от зеркала. После обновления локальной repo базы данных с slackpkg update инструмент проверяет законность подписи нового файла MD5 и журнала изменений и т.д...

После загрузки пакета (но прежде, чем установить) проверяются подпись и MD5 пакета.

Можно получить открытый ключ с slackpkg update gpg или просто импортируя его из установки CD с gpg --import GPG-KEY

Существует другой неофициальный инструмент slapt-get для Slackware. Это поддерживает GPG-проверки также! Похожим способом как slackpkg.

1
27.01.2020, 19:50

Теги

Похожие вопросы