我知道的大多数发行版都有某种存储库功能,可以在安装后下载新的软件包。哪些发行版以安全的方式执行此操作,哪些发行版不以安全的方式执行此操作。
我特别考虑像中间人这样的攻击媒介,以及像存储库元服务器和存储库文件镜像上的安全漏洞这样的问题。
我听说 Slackware 和 Arch linux 都非常容易受到攻击,因为它们缺乏包签名。这是真的?是否有其他主要的 Linux 发行版容易受到简单的中间人攻击?
答案1
Debian 软件包经过校验和,并且校验和由 Debian 密钥环中的密钥签名。包管理器apt确保下载的包具有正确的校验和,并且校验和文件已正确签名。
答案2
这并不是对您问题的直接回答,但您可以采取一些措施来减轻这种风险。最简单的方法是根据来自某个网站的校验和检查下载的软件包。不同的镜像比你下载的要好。
当我的包管理器 ( poldek) 下载包时,我将其设置为在缓存文件夹中保留下载的 rpm 的副本。它会根据包存储库自动检查下载的校验和,并在不匹配时发出警告/中止,但如果您担心中间人攻击您的发行版存储库,那么很容易编写一个浏览的辅助脚本所有下载的软件包,并根据从不同镜像下载的校验和验证它们。您甚至可以将第一次安装作为试运行来运行,以便下载但不安装软件包,然后运行验证脚本,然后进行实际安装。
这并不能阻止受损的软件包进入发行版的存储库,但大多数发行版都有其他方法来缓解这种情况,甚至签名的软件包也不能保证这永远不会成为问题。它的作用是抑制目标中间人攻击向量。通过使用单独的源并在单独的通道上下载,您就可以消除将受感染的软件包放入窃听线路中的便利性。
答案3
Fedora 软件包已签名并校验和。甚至第三方存储库,例如转速融合签署他们的包裹。
Yum(包管理器)需要特殊标志 ( --nogpgcheck) 来安装尚未签名的包。
答案4
谁说 Slackware 没有包签名?
Slackware 软件包使用 Slackware 的公钥进行签名。所以每个包都有其扩展名的签名.asc。不仅是包,其他文件也被签名,例如CHECKSUMS.MD5.这包含包的校验和列表。
该发行版有一个官方工具,用于slackpkg从镜像下载/安装软件包。使用该工具更新本地存储库数据库后,slackpkg update检查新 MD5 文件和更改日志等的签名有效性...
下载软件包后(但在安装之前),将检查软件包的签名和 MD5。
可以使用以下命令获取公钥,slackpkg update gpg或者直接从安装 CD 中导入它:gpg --import GPG-KEY
slapt-getSlackware还有另一个非官方工具。它还支持 GPG 检查!以类似的方式作为slackpkg.