내 친구가 방금 가장 이상한 문제에 직면했습니다. 그의 Fedora 20은 현재 커널 3.16.3으로 업데이트할 수 없습니다(또는 찾을 수도 없음). 그런데 이 커널도 업데이트되지 않습니다.깨지기 쉬운 타격버전). 캐시를 지우고 그 사람과 내 프로필을 비교하고 조금 고민한 후에 마침내 그가 VPN을 사용하고 있다는 것을 기억하고 그에게 VPN을 끄고 다시 시도하라고 요청했습니다. VPN 외부에서는 완벽하게 작동합니다. 내 생각엔 VPN이 공격적인 캐싱을 사용하여 http 프록시를 시행하는 것 같습니다.
yum이로 인해 사용자에게 제공할 수 있는 보안 주장에 대해 생각하게 되었습니다. 분명히 그는 오래된 저장소 상태에 대한 경고나 오류 메시지를 받지 못했기 때문에 저장소 데이터베이스에 대한 재생 공격을 감지할 수 없었습니다. 저장소 개요에 타임스탬프가 지정되고 정기적으로 서명되거나 HTTPS를 통해 가져오거나 암호화된 트래픽의 대역폭을 줄이기 위해 HTTPS를 통해 데이터베이스 해시를 가져오는 것으로 가정합니다.
개별 패키지의 서명이 확인된다는 것을 알고 있으므로 신뢰할 수 있는 당사자가 작성하지 않은 패키지는 내 시스템에 설치할 수 없다는 점을 적어도 확신할 수 있습니다. 하지만 부분 업데이트는 어떻습니까? 악성 에이전트나 미러가 패키지 업데이트를 선택적으로 거부할 수 있나요? 예를 들어, 취약한 bash 패키지를 업데이트하지 말고 다른 모든 업데이트를 전달하여 업데이트를 전혀 받지 못했다는 의심이 들지 않도록 하시겠습니까?
또는 공격자가 선택적으로 공격할 수도 있습니다.다운그레이드팩? 예를 들어 하트블리드에 취약한 openssl 패키지를 다시 설치하시겠습니까?
답변1
나는 의 관점에서 대답하고 있지만 apt의 경우에도 마찬가지라고 생각합니다 yum.
업데이트는 HTTPS가 아닌 HTTP 또는 FTP를 통해 가져옵니다. 아이디어는 페이로드를 암호화할 필요가 없고 수정하지 않아도 되므로 인덱스의 PGP 서명을 통해 "적절한" 보안이 달성된다는 것입니다. 하지만 재생 공격이 문제입니다!
확장 가능하려면 "단순한 미러" 시스템에서 업데이트와 인덱스를 가져와야 하므로 미러는 연결별 계산을 수행할 수 없습니다. 이론적으로는 두 번째 시스템을 사용하여 인덱스를 가져오고 대량 데이터에는 단순 미러를 사용할 수 있습니다.
물론 서버에 연결할 수 있다는 보장은 없습니다. 로컬 시스템의 시계를 신뢰한다면,할 수 있다PGP 서명의 일부로 포함된 타임스탬프를 확인하세요. 이를 위해서는작은콘텐츠가 변경되지 않은 경우에도 서명이 매일 다시 생성되도록 하는 일부 추가 인프라는 오래된 이미지를 감지하는 데 좋습니다.
질문의 마지막 부분에서는 아니요, 강제로 다운그레이드하는 것은 불가능합니다. 패키지 관리의 기본 측면은 원격 저장소에 현재 보유하고 있는 버전보다 이전 버전이 포함되어 있으면 아무 작업도 수행하지 않는다는 것입니다.