Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam! Pytanie pewnie głupie, ale nigdzie nie mogę znaleźć odpowiedzi. Jaką mam pewność, że w repozytoriach Centosa pakiety nie zostały podmienione, np. na szpiegujące? Mam na myśli oficjalne repozytoria base, extras, updates- np. te z Polski. Z góry dzięki za odpowiedź. Pozdrawiam.
Offline
2286
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:25:18)
Offline
Cześć. Tak poza tym, np. w trakcie pobierania pakietów *.rpm z danego repozytorium (np. wykorzystując narzędzie RPM), weryfikowany jest podpis, aby upewnić się, że nie zostały naruszone. Wszystkie pakiety, dostępne w systemie CentOS, są podpisane za pomocą klucza GPG (Red Hat Inc.), użytego do zapewnienia autentyczności dystrybuowanych plików. Podpis jest sprawdzany automatycznie, zarówno podczas instalacji oraz aktualizacji pakietu. Sygnatura potwierdza, że pakiet został podpisany przez upoważniony podmiot.
Jeśli klucz publiczny, rozprowadzany przez Red Hat, nie zgadza się z kluczem prywatnym podczas weryfikacji RPM, może to oznaczać, że pakiet mógł zostać zmieniony, a więc przestaje być godny zaufania, prawda? Narzędzie RPM, przed zainstalowaniem programu, automatycznie próbuje zweryfikować klucz GPG wykorzystany do jego "podpisania". Jest to niezwykle ważne, aby sprawdzić pobrane pakiety, pod kątem uszkodzeń bądź tego, czy nie są trefne. Programy *.rpm, które nie przechodzą owej weryfikacji, nie powinny być instalowane, ponieważ — jak już wspomniano — istnieje możliwość, że zostały zmienione przez osoby trzecie etc. W przypadku poprawnego audytu, można przejść do instalacji przyjmując, że pakiet jest godny zaufania. Polecam zapoznać się z dokumentacją dystrybucji CentOS, dotyczącą np. sprawdzania podpisu pakietów, korzystania z mechanizmu RPM itp. (Zob. Package Management with RPM).
Tak więc Korzen, wydaje się, że tylko w ten sposób można mieć pewność, że z pakietami, wszystko jest w porządku. Z drugiej strony, można zadać pytanie, jak wiarygodny jest programista, który stworzył paczkę? Jeżeli pakiet jest podpisany kluczem GnuPG dewelopera, można uznać, że owy deweloper jest tym, za kogo się podaje. Dodatkowo można śledzić oficjalną stronę projektu, listy mailingowe, zwłaszcza te dotyczące bezpieczeństwa etc., w poszukiwaniu wiadomości mówiących o zmianach w repozytoriach. Oczywiście tych złych, niepokojących modyfikacjach.
Mam nadzieję, że czegoś nie pokręciłem pisząc odpowiedź "na szybko". (Jeżeli tak, to przepraszam i proszę o info).
Pozdrawiam.
EDYCJA: formatowanie tekstu.
Ostatnio edytowany przez remi (2015-09-30 20:34:53)
Offline
Dzięki Panowie za odpowiedzi:) Rozwiały one moje wątpliwości. Pozdrawiam!
Offline