Hangi linux distro'nun paket depoları güvenli, hangileri güvenli değil?

Çoğu dağıtımın kurulumdan sonra yeni paketlerin indirilebileceği bir tür depo işlevselliği olduğunu biliyorum. Hangi dağıtımlar bunu güvenli bir şekilde yapar ve hangileri güvenli bir şekilde yapmaz.

Özellikle ortadaki adam gibi saldırı vektörleri ve hem depo meta sunucusunda hem de depo dosya aynalarında güvenliğin ihlali gibi sorunlar hakkında düşünüyorum.

Hem Slackware hem de Arch linux'un çok savunmasız olduklarını duydum çünkü paket imzalamıyorlar. Bu doğru mu? Basit ortadaki adam saldırılarına karşı savunmasız olan başka büyük linux dağıtımları var mı?

Bu, sorunuzun doğrudan bir yanıtı değildir, ancak bu riske karşı hafifletmek için yapabileceğiniz birkaç şey vardır. En basit olanı, indirdiğiniz paketleri, indirdiğinizden farklı bir aynadan sağlama toplamlarına karşı kontrol etmektir .

Paket yöneticim ( poldek) bir paket indirdiğinde, indirilen rpm'nin bir kopyasını önbellek klasöründe tutacak şekilde ayarladım. Karşıdan yükleme kontrol toplamını paket havuzuna göre otomatik olarak kontrol eder ve bir uyumsuzluk konusunda uyarır / iptal eder, ancak dağıtım deponuza karşı saldırıya uğrayan adam hakkında endişeleniyorsanız, taranan ikincil bir komut dosyası yazmak kolay olurdu indirdiğiniz tüm paketleri ve farklı bir aynadan indirdiğiniz sağlama toplamlarına karşı doğrulayın. Hatta ilk yüklemenizi kuru çalıştırma olarak çalıştırabilirsiniz, böylece paketler indirilir ancak yüklenmez, ardından doğrulama komut dosyanızı çalıştırır ve ardından gerçek yüklemeyi gerçekleştirirsiniz.

Bu, güvenliği ihlal edilmiş bir paketin dağıtım şirketinin deposuna girmesini engellemez, ancak dağıtımların çoğunun bunu hafifletmenin başka yolları vardır ve imzalı paketler bile bunun asla bir sorun olmadığını garanti etmez. Yaptığı şey, hedeflenen ortadaki adam saldırı vektörünü bastırmaktır. Ayrı bir kaynak kullanarak ve ayrı bir kanala indirerek, güvenliği ihlal edilmiş bir paketin dokunulan bir satıra bırakılma kolaylığını öldürürsünüz.

Debian paketleri sağlama toplamıdır ve sağlama toplamları Debian anahtarlığındaki bir anahtarla imzalanır. aptPaket yöneticisi olmasını sağlar indirilen paketi doğru toplama sahip olduğunu ve sağlama dosyası doğru imzalandı söyledi.

Fedora paketleri imzalanır ve kontrol edilir. Rpmfusion gibi 3. taraf depoları bile paketlerini imzalar.

Yum (paket yöneticisi) --nogpgcheckimzalanmamış paketleri kurmak için özel bir işaret () gerektirir .

Tüm Arch Linux paketleri, tüm bitlerin yerinde olup olmadığını kontrol etmek için bir md5 veya sha1 toplamı kullanır. Karma algoritmasını seçmek paket tutucunun sorumluluğundadır. AUR'dan yüklenen paketlerin (genellikle sadece küçük bir PKGBUILD metin dosyası) yüklenmeden önce kurulum sahibi tarafından kontrol edilmesi gerekir. Resmi ikili paketleri içeren depolar, güvenilir kullanıcılar (TU'lar) tarafından denetlenir.

Güncelleme : Arch şimdi pacman 4 ile paket imzalamayı tanıttı

Kim Slackware'in paket imzası olmadığını söyledi?

Slackware paketleri, Slackware'in genel anahtarı ile imzalanır. Bu yüzden her paketin uzantı ile imzası vardır .asc. Sadece paketler değil, diğer dosyalar da imzalanır CHECKSUMS.MD5. Bu paketlerin sağlama toplamlarının listesini içerir.

Dağıtım, slackpkgpaketleri bir aynadan indirmek / yüklemek için adlandırılan resmi bir araca sahiptir . Yerel repo veritabanını slackpkg updatearaçla güncelledikten sonra , yeni MD5 dosyasının ve changelog'un vb. İmza geçerliliğini kontrol eder.

Bir paketi indirdikten sonra (ancak yüklemeden önce) paketin imzası ve MD5'i kontrol edilir.

Bir ortak anahtar ile slackpkg update gpgyükleme CD'sinden elde edilebilir veyagpg --import GPG-KEY

slapt-getSlackware için resmi olmayan başka bir araç daha var. GPG kontrollerini de destekler! Benzer şekilde slackpkg.

OpenBSD açık ve uzak. Tüm proje güvenliğe adanmıştır, ekip orijinal apache'ye 5000'den fazla çizgi yaması bile kullanmıştır, çünkü kullanılacak kadar güvenli olduğunu hissetmediler. Bu pkg_add üzerinden ama onunla hiç sorun yaşamadım.