ローカルイメージからパッケージを確認する

ローカルイメージからパッケージを確認する
  1. 複数のBSDおよびLinuxオペレーティングシステム/ディストリビューション用のパッケージが潜在的に安全でない接続を介してダウンロードされたか、その後ローカルディスクから悪意のあるバージョンに置き換えられました。
  2. イメージ全体は悪意のあるもので、改ざんされたファイルと署名/メタパッケージを提供します。ファイルが変更されたことを確認するOSに依存しない方法はありますか?

Fedora、Debian、Suseに基づく主要なLinuxディストリビューションでは、パッケージマネージャは1を処理する必要があると思います。なぜなら、1はうまく機能し、それ自体が変調されていないからです。しかし、BSDについてはよくわかりません。しかし、パッケージマネージャを介さずに認証したい場合はどうすればよいですか?次のような考えしかできません。信頼できるソースからメタパッケージをインポートし、ローカルパッケージと比較し、メタパッケージのチェックサムを使用してローカルパッケージの整合性を確認します。より簡単な方法はありますか?この方法が安全でない場合、どのようなアイデアがありますか?これを行うことができる既製のツールはありますか? debsumがありますが、debsでのみ機能します。パッケージ全体を確認するのか、パッケージに含まれているファイルのみを確認するのかわかりません。

答え1

BSDには、説明する攻撃を回避する方法に関するいくつかの簡単なソリューションがあります(1,2)。

  • 基本的な。使用包装袋

    セキュリティ更新プログラムを含むサポートされている最新のFreeBSDリリースには、/etc/pkg/FreeBSD.confと既知の公開鍵がすでに含まれています。

  • 高度(プロダクションでは優先されるべき)。使用ポートシリーズ、自分だけのイメージ構築フードリーそして構成PKG_REPO_SIGNING_KEY

    PKGリポジトリに署名するために使用されるRSAキーのパス。 pkg-repo(8) PKG_REPO_SIGNING_KEY=/etc/ssl/keys/repo.key をご覧ください。

BSDパッケージ/ポートセキュリティの完全な概要はここの範囲外です。つまり、ポートシステムはプライマリシステムから分離されており、各BSDマネージャは独自のビルドシステムとイメージを維持できる必要があります。もっと見る完全FreeBSD特に次の章は。

  • 第16章:ポートを使用したソフトウェアのカスタマイズ
  • 第17章:高度なソフトウェア管理
  • 第18章:FreeBSDのアップグレード
  • 第19章:高度なセキュリティ機能

関連情報