프로토타입 아치 리눅스 이미지 생성 스크립트의 일부로(참조코드 리뷰는 여기에서), 저는 일반 pacstrap 유틸리티를 사용하여 부팅 가능한 설치 및 기타 패키지로 파일 시스템을 채웁니다.
호스트에 대한 어떤 정보가 새 파일 시스템 설치에 사용되거나 포함됩니까?
제가 가장 우려하는 점은 결과 파일 시스템 이미지를 업로드하거나 배포할 때 보안 또는 식별 가능한 정보가 실수로 공개될 것이라는 점입니다.
두 번째 문제는 파일 시스템 이미지가 내 하드웨어(64비트 AMD/Intel 이상)에 맞춰져 있어 다른 장치에서 제대로 부팅되거나 실행되지 않는다는 것입니다.
답변1
pacstrap을 사용하여 생성된 최소 테스트 이미지를 검사하고 pacstrap 도움말을 살펴보면 최소한 다음 정보가 새 시스템으로 전송된 것으로 보입니다.
- 패키지 저장소 및 인증 목록입니다.
- 너 팩맨이야열쇠 고리(신뢰형 인증의 웹입니다.
둘 다 최소한 일부 신원 정보를 공개하며, 이전 활동에 따라 키링에 귀하의 신원이 포함될 수 있습니다.
작업 속도를 높이거나 인터넷 트래픽을 줄이기 위한 로컬 미러인 개인/조직 패키지 저장소가 있거나 "승인된" 패키지가 포함된 경우 미러 목록은 내부 네트워크 세부 정보를 제공합니다.
귀하의 팩맨 열쇠고리에는 귀하의 팩맨에 대한 링크가 포함될 수 있습니다.GnuPG귀하/귀사에 고유한 패키지에 대한 공개 키 또는 조직 내 다른 사람의 키입니다. 키링에 대한 액세스 및 분석을 허용하면 공격자가 이미지의 원본 식별자로 사용할 수 있는 흔하지 않은 키를 찾을 수 있습니다.
이 중 대부분은 공격 완화 전략(무엇이 중요해질지 정확히 예측하기 어렵기 때문에 명백한 위험에 관계없이 불필요한 정보의 양을 줄이기 위한 간단한 위험 감소 조치)을 갖춘 조직에만 의미가 있을 수 있습니다.
팩맨 도움말은 다음을 이동하지 않는 방법을 제공합니다.
$ pacstrap -h
usage: pacstrap [options] root [packages...]
Options:
-C config Use an alternate config file for pacman
-c Use the package cache on the host, rather than the target
-G Avoid copying the host's pacman keyring to the target
-i Avoid auto-confirmation of package selections
-M Avoid copying the host's mirrorlist to the target
-h Print this help message
pacstrap installs packages to the specified new root directory. If no packages
are given, pacstrap defaults to the "base" group.
따라서 -G 및 -M 옵션을 사용하면 이 정보가 복사되지 않지만 새로 설치할 때 해당 정보를 다시 채워야 합니다. 다음 명령을 사용하여 새 키링을 생성할 수 있습니다.
pacman-key --init && pacman-key --populate archlinux
"적절한" 미러 목록(주어진 상황에 대한 의미가 무엇이든)을 준비하여 /etc/pacman.d/mirrorlist에 배치할 수 있습니다.