私が知っているほとんどのディストリビューションには、インストール後に新しいパッケージをダウンロードできる一種のストレージ機能があります。安全な方法でこれを行うディストリビューションとそれ以外のディストリビューションは何ですか?
私は特に、中間者攻撃などの攻撃ベクトル、リポジトリメタサーバー、リポジトリファイルミラーのセキュリティ脆弱性などの問題について考えています。
SlackwareとArch Linuxはどちらもパッケージ署名がないため、非常に脆弱だと聞きました。これは本当ですか?他の主要なLinuxディストリビューションも単純な中間者攻撃に対して脆弱ですか?
答え1
Debian パッケージはチェックサムが適用され、チェックサムは Debian キーリングのキーで署名されます。パッケージマネージャは、aptダウンロードしたパッケージに正しいチェックサムがあること、およびチェックサムファイルが正しく署名されていることを確認します。
答え2
これはあなたの質問に対する直接的な答えではありませんが、これらのリスクを軽減するためにできることがあります。最も簡単な方法は、一部のWebサイトのチェックサムと比較してダウンロードしたパッケージを確認することです。その他ミラーはダウンロードしたよりも優れています。
私のパッケージマネージャ(poldek)がパッケージをダウンロードしたときにダウンロードしたrpmのコピーをキャッシュフォルダに保存するように設定しました。パッケージリポジトリに対してダウンロードしたチェックサムを自動的にチェックし、不一致の場合は警告/中断しますが、distroリポジトリへの中間者攻撃が気になる場合は、ダウンロードしたすべてのソフトウェアパッケージを参照し、他のミラーからダウンロードしたチェックサムと比較して確認します。最初のインストールをテスト実行として実行してパッケージをダウンロードしたがインストールしないようにし、実際のインストールを実行する前に確認スクリプトを実行することもできます。
これは、破損したパッケージがディストリビューションリポジトリに入るのを防ぎませんが、ほとんどのディストリビューションにはこれを軽減するための別の方法があり、署名されたパッケージでもこれが問題にならないという保証はありません。その役割は、標的となった中間者攻撃ベクトルを抑制することです。別のソースを使用して別々のチャンネルからダウンロードすると、感染したパッケージを盗聴回線に配置する利便性がなくなります。
答え3
Fedora パッケージは署名され、チェックサムされます。または、サードパーティのリポジトリもあります。スピード融合パッケージに署名します。
Yum(パッケージマネージャ)は、--nogpgcheck署名されていないパッケージをインストールするために特別なフラグ()を必要とします。
答え4
Slackwareにはパッケージ署名がないと誰が言いましたか?
Slackware パッケージは、Slackware の公開鍵を使用して署名されます。したがって、各パッケージは拡張子で署名されます.asc。パッケージだけでなく他のファイルも署名されます。たとえば、CHECKSUMS.MD5これにはパッケージのチェックサムのリストが含まれます。
slackpkgこのディストリビューションには、ミラーからパッケージをダウンロード/インストールするための公式ツールがあります。ツールを使用してローカルストレージデータベースを更新したら、slackpkg update新しいMD5ファイルや変更ログなどの署名を検証します。
パッケージをダウンロードしたら(インストール前)、パッケージの署名とMD5を確認してください。
次のコマンドを使用して公開鍵を入手したり、インストールslackpkg update gpgCDから直接インポートしたりできます。gpg --import GPG-KEY
slapt-getSlackwareには別の非公式ツールがあります。 GPG検査もサポートします!と同様の方法でslackpkg。