कौन से लिनक्स डिस्ट्रो के पैकेज रिपॉजिटरी सुरक्षित हैं और कौन से नहीं हैं?

अधिकांश डिस्ट्रो के मुझे पता है कि कुछ प्रकार की रिपॉजिटरी कार्यक्षमता है जहां स्थापना के बाद नए पैकेज डाउनलोड किए जा सकते हैं। कौन से डिस्ट्रोस इसे सुरक्षित तरीके से करते हैं और जो इसे सुरक्षित तरीके से नहीं करते हैं।

मैं विशेष रूप से मैन-इन-बीच जैसे अटैक वैक्टर के बारे में सोच रहा हूं और रिपॉजिटरी मेटा सर्वर और रिपॉजिटरी फाइल मिरर दोनों पर सुरक्षा भंग होने जैसी समस्याएं हैं।

मैंने सुना है कि स्लैकवेयर और आर्क लाइनक्स दोनों बहुत कमजोर हैं क्योंकि उनमें पैकेज साइनिंग की कमी है। क्या ये सच है? क्या कोई अन्य प्रमुख लिनक्स डिस्ट्रो है जो साधारण मानव-मध्य हमलों के लिए असुरक्षित है?

यह आपके सवाल का सीधा जवाब नहीं है, लेकिन इस जोखिम के खिलाफ कई चीजें हैं जिन्हें आप कम कर सकते हैं। सबसे सरल यह है कि आप अपने डाउनलोड किए गए पैकेजों को एक अलग दर्पण से चेकसमों के खिलाफ डाउनलोड करने की तुलना में डाउनलोड करें।

जब मेरा पैकेज मैनेजर ( poldek) पैकेज डाउनलोड करता है, तो मैंने इसे कैश फ़ोल्डर में डाउनलोड किए गए आरपीएम की एक प्रति रखने के लिए सेट किया है। यह स्वचालित रूप से पैकेज रिपॉजिटरी के खिलाफ डाउनलोड के चेकसम को चेक करता है और मिसमैच पर चेतावनी / गर्भपात करता है, लेकिन यदि आप अपने डिस्ट्रो रिपॉजिटरी के खिलाफ मैन-इन-मिडिल के बारे में चिंतित थे, तो यह एक माध्यमिक शब्द लिखना आसान होगा जो इसके माध्यम से हुआ। आपके सभी डाउनलोड किए गए पैकेज और उन्हें एक अलग दर्पण से डाउनलोड किए गए चेकसम के खिलाफ सत्यापित करें। आप अपनी पहली इंस्टॉल को ड्राई-रन के रूप में भी चला सकते हैं ताकि पैकेज डाउनलोड हो जाएं लेकिन इंस्टॉल न हो, फिर अपनी सत्यापन स्क्रिप्ट चलाएं, फिर वास्तविक इंस्टॉल करें।

यह डिस्ट्रो के रिपॉजिटरी में जाने से समझौता पैकेज को रोकता नहीं है, लेकिन अधिकांश डिस्ट्रोस को कम करने के अन्य तरीके हैं, और यहां तक ​​कि हस्ताक्षर किए गए पैकेज की गारंटी नहीं होगी कि यह कभी भी समस्या नहीं थी। यह जो करता है वह लक्षित मैन-इन-द-मिडिल अटैक वेक्टर है। एक अलग स्रोत का उपयोग करके और एक अलग चैनल पर डाउनलोड करके, आप उस आसानी को मार देते हैं जिसके साथ एक समझौता पैकेज को एक टैप लाइन में गिराया जा सकता है।

डेबियन पैकेज चेकसमेड हैं, और चेकबोन डेबियन कीरिंग में एक कुंजी द्वारा हस्ताक्षरित हैं। aptपैकेज प्रबंधक सुनिश्चित डाउनलोड किए गए पैकेज सही चेकसम है कि और कहा कि चेकसम फ़ाइल ठीक से हस्ताक्षर किए गए।

फेडोरा पैकेज पर हस्ताक्षर किए गए हैं और जाँच की गई है। यहां तक ​​कि 3 पार्टी रिपॉजिटरी जैसे कि rpmfusion उनके पैकेज पर हस्ताक्षर करते हैं।

यम (पैकेज मैनेजर) को उन --nogpgcheckपैकेजों को स्थापित करने के लिए एक विशेष ध्वज () की आवश्यकता होती है जिस पर हस्ताक्षर नहीं किए गए हैं।

सभी आर्क लिनक्स पैकेज एक md5 या sha1 योग का उपयोग करके यह जांचते हैं कि सभी बिट्स जगह में हैं। यह हैशिंग एल्गोरिदम को चुनने के लिए पैकेज अनुचर तक है। AUR से स्थापित पैकेज (अक्सर बस एक छोटी PKGBUILD पाठ फ़ाइल) इंस्टाल द्वारा स्थापित होने से पहले जाँच की जानी चाहिए। आधिकारिक बाइनरी पैकेज वाले रिपॉजिटरी की देखरेख विश्वसनीय उपयोगकर्ताओं (टीयू) द्वारा की जाती है।

अपडेट : आर्क ने अब पैक्मैन 4 के साथ पैकेज साइनिंग शुरू की है

किसने कहा कि स्लैकवेयर का कोई पैकेज हस्ताक्षर नहीं है?

स्लैकवेयर पैकेज को स्लैकवेयर की सार्वजनिक कुंजी के साथ हस्ताक्षरित किया जाता है। इसलिए हर पैकेज में विस्तार के साथ अपने हस्ताक्षर हैं .asc। न केवल पैकेज बल्कि अन्य फाइलों पर भी हस्ताक्षर किए जाते हैं, जैसे CHECKSUMS.MD5। इसमें संकुल के चेकसम की सूची सम्‍मिलित है।

डिस्ट्रो के पास एक आधिकारिक टूल slackpkgहै, जो मिरर से पैकेज डाउनलोड / इंस्टॉल करने के लिए कहा जाता है । slackpkg updateउपकरण के साथ स्थानीय रेपो डेटाबेस को अपडेट करने के बाद नई एमडी 5 फ़ाइल और चैंज, आदि की हस्ताक्षर वैधता की जांच करता है ...

पैकेज डाउनलोड करने के बाद (लेकिन स्थापित करने से पहले) पैकेज के हस्ताक्षर और एमडी 5 की जाँच की जाती है।

एक के साथ सार्वजनिक कुंजी प्राप्त कर सकते हैं slackpkg update gpgया बस इसे स्थापित सीडी से आयात कर सकते हैंgpg --import GPG-KEY

slapt-getस्लैकवेयर के लिए एक अन्य अनौपचारिक उपकरण है। यह GPG- चेक का भी समर्थन करता है! इसी तरह से slackpkg।

OpenBSD द्वारा और दूर। पूरी परियोजना सुरक्षा के लिए समर्पित है, टीम ने मूल अपाचे को 5000+ लाइन पैच भी दिया क्योंकि उन्हें नहीं लगा कि यह उपयोग करने के लिए पर्याप्त सुरक्षित था। यह pkg_add के माध्यम से है, लेकिन मेरे पास इसके साथ कभी समस्या नहीं है।