내가 아는 대부분의 배포판에는 설치 후 새 패키지를 다운로드할 수 있는 일종의 저장소 기능이 있습니다. 안전한 방식으로 이를 수행하는 배포판과 그렇지 않은 배포판은 무엇입니까?
저는 특히 중간자 공격과 같은 공격 벡터와 리포지토리 메타서버 및 리포지토리 파일 미러의 보안 취약성과 같은 문제에 대해 생각하고 있습니다.
Slackware와 Arch Linux는 모두 패키지 서명이 없기 때문에 매우 취약하다고 들었습니다. 이게 진짜야? 다른 주요 Linux 배포판도 단순한 중간자 공격에 취약합니까?
답변1
데비안 패키지는 체크섬이 적용되며 체크섬은 데비안 키링의 키로 서명됩니다. 패키지 관리자는 apt다운로드한 패키지에 올바른 체크섬이 있는지, 체크섬 파일이 제대로 서명되었는지 확인합니다.
답변2
이것은 귀하의 질문에 대한 직접적인 대답은 아니지만 이러한 위험을 완화하기 위해 할 수 있는 일이 있습니다. 가장 간단한 방법은 일부 웹사이트의 체크섬과 비교하여 다운로드한 패키지를 확인하는 것입니다.다른미러는 다운로드한 것보다 낫습니다.
내 패키지 관리자( poldek)가 패키지를 다운로드할 때 다운로드한 rpm의 복사본을 캐시 폴더에 보관하도록 설정했습니다. 패키지 저장소에 대해 다운로드한 체크섬을 자동으로 확인하고 불일치 시 경고/중단하지만 distro 저장소에 대한 중간자 공격이 걱정된다면 다운로드한 모든 소프트웨어 패키지를 탐색하고 다른 미러에서 다운로드한 체크섬과 비교하여 확인합니다. 첫 번째 설치를 테스트 실행으로 실행하여 패키지가 다운로드되었지만 설치되지 않도록 한 다음 실제 설치를 수행하기 전에 확인 스크립트를 실행할 수도 있습니다.
이는 손상된 패키지가 배포판 저장소에 들어가는 것을 막지는 못하지만 대부분의 배포판에는 이를 완화할 수 있는 다른 방법이 있으며 서명된 패키지라도 이것이 결코 문제가 되지 않을 것이라는 보장은 없습니다. 그 역할은 표적이 된 중간자 공격 벡터를 억제하는 것입니다. 별도의 소스를 사용하고 별도의 채널에서 다운로드하면 감염된 패키지를 도청 회선에 넣는 편의성이 사라집니다.
답변3
Fedora 패키지는 서명되고 체크섬됩니다. 또는 타사 저장소도 있습니다.속도융합패키지에 서명하십시오.
Yum(패키지 관리자)은 --nogpgcheck서명되지 않은 패키지를 설치하려면 특수 플래그( )가 필요합니다.
답변4
Slackware에는 패키지 서명이 없다고 누가 말했습니까?
Slackware 패키지는 Slackware의 공개 키를 사용하여 서명됩니다. 따라서 각 패키지는 확장자로 서명됩니다 .asc. 패키지뿐만 아니라 다른 파일도 서명됩니다. 예를 들어 CHECKSUMS.MD5여기에는 패키지의 체크섬 목록이 포함됩니다.
slackpkg이 배포판에는 미러에서 패키지를 다운로드/설치하기 위한 공식 도구가 있습니다 . 도구를 사용하여 로컬 저장소 데이터베이스를 업데이트한 후 slackpkg update새 MD5 파일 및 변경 로그 등의 서명 유효성을 확인하세요.
패키지를 다운로드한 후(설치 전) 패키지의 서명과 MD5를 확인합니다.
다음 명령을 사용하여 공개 키를 얻 slackpkg update gpg거나 설치 CD에서 직접 가져올 수 있습니다.gpg --import GPG-KEY
slapt-getSlackware에는 또 다른 비공식 도구가 있습니다. GPG 검사도 지원합니다! 와 비슷한 방식으로 slackpkg.