Hangi linux distro'nun paket depoları güvenli, hangileri güvenli değil?


14

Çoğu dağıtımın kurulumdan sonra yeni paketlerin indirilebileceği bir tür depo işlevselliği olduğunu biliyorum. Hangi dağıtımlar bunu güvenli bir şekilde yapar ve hangileri güvenli bir şekilde yapmaz.

Özellikle ortadaki adam gibi saldırı vektörleri ve hem depo meta sunucusunda hem de depo dosya aynalarında güvenliğin ihlali gibi sorunlar hakkında düşünüyorum.

Hem Slackware hem de Arch linux'un çok savunmasız olduklarını duydum çünkü paket imzalamıyorlar. Bu doğru mu? Basit ortadaki adam saldırılarına karşı savunmasız olan başka büyük linux dağıtımları var mı?


dağıtımın sitesi açık metin http veya ftp ise ve dağıtım bu bağlantıdan bir iso olarak elde edilirse ve bu temel bağlantı MITM'lidir, güncelleme paketlerinde herhangi bir 'post-mortem' paketi imzalama ne kadar iyidir?
n611x007

Yanıtlar:


7

Bu, sorunuzun doğrudan bir yanıtı değildir, ancak bu riske karşı hafifletmek için yapabileceğiniz birkaç şey vardır. En basit olanı, indirdiğiniz paketleri, indirdiğinizden farklı bir aynadan sağlama toplamlarına karşı kontrol etmektir .

Paket yöneticim ( poldek) bir paket indirdiğinde, indirilen rpm'nin bir kopyasını önbellek klasöründe tutacak şekilde ayarladım. Karşıdan yükleme kontrol toplamını paket havuzuna göre otomatik olarak kontrol eder ve bir uyumsuzluk konusunda uyarır / iptal eder, ancak dağıtım deponuza karşı saldırıya uğrayan adam hakkında endişeleniyorsanız, taranan ikincil bir komut dosyası yazmak kolay olurdu indirdiğiniz tüm paketleri ve farklı bir aynadan indirdiğiniz sağlama toplamlarına karşı doğrulayın. Hatta ilk yüklemenizi kuru çalıştırma olarak çalıştırabilirsiniz, böylece paketler indirilir ancak yüklenmez, ardından doğrulama komut dosyanızı çalıştırır ve ardından gerçek yüklemeyi gerçekleştirirsiniz.

Bu, güvenliği ihlal edilmiş bir paketin dağıtım şirketinin deposuna girmesini engellemez, ancak dağıtımların çoğunun bunu hafifletmenin başka yolları vardır ve imzalı paketler bile bunun asla bir sorun olmadığını garanti etmez. Yaptığı şey, hedeflenen ortadaki adam saldırı vektörünü bastırmaktır. Ayrı bir kaynak kullanarak ve ayrı bir kanala indirerek, güvenliği ihlal edilmiş bir paketin dokunulan bir satıra bırakılma kolaylığını öldürürsünüz.


1
Arch için paccheckbunu yapan, kurulumdan önce paketleri farklı aynalarla karşılaştıran ve herhangi bir tutarsızlığı uyaran bir paket var .
Wolf

Yansıtma listeleri muhtemelen herkese açıktır, bu nedenle bir saldırgan teorik olarak hepsini MITM'e kalıpla çizemez mi? Bir saldırgan sunucunuzu özel olarak hedefliyorsa, bu daha da olası görünmüyor mu? Yine de bu muhtemelen Linux çoğunluğunun yaptığı şeyden daha fazladır.
n611x007

10

Debian paketleri sağlama toplamıdır ve sağlama toplamları Debian anahtarlığındaki bir anahtarla imzalanır. aptPaket yöneticisi olmasını sağlar indirilen paketi doğru toplama sahip olduğunu ve sağlama dosyası doğru imzalandı söyledi.


5

Fedora paketleri imzalanır ve kontrol edilir. Rpmfusion gibi 3. taraf depoları bile paketlerini imzalar.

Yum (paket yöneticisi) --nogpgcheckimzalanmamış paketleri kurmak için özel bir işaret () gerektirir .


Red Hat ve CentOS gibi alt takım paketleri de öyle
fpmurphy

3

Tüm Arch Linux paketleri, tüm bitlerin yerinde olup olmadığını kontrol etmek için bir md5 veya sha1 toplamı kullanır. Karma algoritmasını seçmek paket tutucunun sorumluluğundadır. AUR'dan yüklenen paketlerin (genellikle sadece küçük bir PKGBUILD metin dosyası) yüklenmeden önce kurulum sahibi tarafından kontrol edilmesi gerekir. Resmi ikili paketleri içeren depolar, güvenilir kullanıcılar (TU'lar) tarafından denetlenir.

Güncelleme : Arch şimdi pacman 4 ile paket imzalamayı tanıttı


2
Tümü doğru, ancak paketler imzalanmadı ve bu nedenle saldırı ve saldırı tehlikelerine karşı savunmasız kalıyor, ancak olasılığı uzak tutuyor. Uzun süredir istenen bir özellik ve Arch'ı isteksizce durdurmamın ana nedeni oldu. Bununla birlikte, Arch ve Pacman forumlarında ve wiki'de sürekli tartışma var - çözmek zor bir sorun. Bu sayının dışında Arch harika bir dağıtım.
Eli Heady

@Eli: Bunun gerçeğini tartışmıyorum - işlerin durumu hakkında hiçbir fikrim yok - ama saldırmak için son derece ince bir pazar olmaz. Kabul edilir, Arch oldukça popüler bir dağıtımdır, ancak tüm bu tür yaramazlık türleri genellikle para kazanmaya dayanmıyor mu?
boehj

1
Tüm bunlardan sonra, Windows kullanıcı tabanının Linux'tan daha fazla hedeflenmesinin nedeni bu, değil mi? Mesele şu ki, agrega için geçerli olan şey genellikle birey için tam olarak geçerli değildir. Demek istediğim, herkesin tehdit modeli farklı - bir saldırı için seçilmekten korkmak için bir nedeniniz varsa, riski azaltmak için uygun adımları atmalısınız. Paket imzalamaması, sömürülmesi o kadar da zor olmayan saldırı vektörlerini sunar. Korunacak değerli parçalarınız varsa, tehdit azaltma stratejinizde bu konu dikkate alınmalıdır.
Eli Heady

Arch'ı bir CD / DVD'den yükleyebilir ve daha sonra ikili paketlerin md5 / sha1 toplamlarının kurulumdan önce Caleb'in önerdiğine benzer şekilde birkaç aynadaki toplamlara karşılık geldiğini kontrol etmeye dikkat edebilirsiniz. Paket imzalama noktasını görmeme ve Arch'ın buna sahip olmasını dilesem de, hiçbir durumda% 100 güvenlik yoktur.
Alexander

Peki sağlama toplamı net metin http veya ftp daha güvenli bir şekilde teslim nasıl elde edilir? imza denetimi tam olarak kemer üzerinde tam olarak gerçekleşiyor mu?
n611x007

1

Kim Slackware'in paket imzası olmadığını söyledi?

Slackware paketleri, Slackware'in genel anahtarı ile imzalanır. Bu yüzden her paketin uzantı ile imzası vardır .asc. Sadece paketler değil, diğer dosyalar da imzalanır CHECKSUMS.MD5. Bu paketlerin sağlama toplamlarının listesini içerir.

Dağıtım, slackpkgpaketleri bir aynadan indirmek / yüklemek için adlandırılan resmi bir araca sahiptir . Yerel repo veritabanını slackpkg updatearaçla güncelledikten sonra , yeni MD5 dosyasının ve changelog'un vb. İmza geçerliliğini kontrol eder.

Bir paketi indirdikten sonra (ancak yüklemeden önce) paketin imzası ve MD5'i kontrol edilir.

Bir ortak anahtar ile slackpkg update gpgyükleme CD'sinden elde edilebilir veyagpg --import GPG-KEY

slapt-getSlackware için resmi olmayan başka bir araç daha var. GPG kontrollerini de destekler! Benzer şekilde slackpkg.


-2

OpenBSD açık ve uzak. Tüm proje güvenliğe adanmıştır, ekip orijinal apache'ye 5000'den fazla çizgi yaması bile kullanmıştır, çünkü kullanılacak kadar güvenli olduğunu hissetmediler. Bu pkg_add üzerinden ama onunla hiç sorun yaşamadım.


4
Soruyu cevaplamıyorsunuz: özellikle indirilen paketlerin (ve * BSD durumunda bağlantı noktalarının) imzalarını doğrulamakla ilgilidir.
Gilles 'SO- kötü olmayı bırak

1
@Gilles ile hemfikirim; OpenBSD harika bir işletim sistemidir, ancak @grm Linux paket dağıtım güvenliği hakkında sorular sordu.
livingstaccato
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.