LINUX.ORG.RU

layman и безопасность

 , ,


0

1

Как я понимаю, все что предлагает layman в качестве мер безопасности на сегодняшний день, это вот это предложение в man-е:

To ensure the security of your system you MUST read the source of the ebuild you are about to install.

Подписываются же манифесты, но при установке проверяются только хеши. Даже в Ubuntu есть apt-key для ppa, почему у layman нет такой фичи?

Ответ на: комментарий от init_6

Я думаю, что это никому не помешает.

Хех, а некоторые (не буду показывать пальцем) даже Manifest не подписывают.

trupiko
() автор топика

в layman репозитории, в репозиториях всё подписано. Поэтому нахаляву подменить не удастся. Некий уровень чистки репозиториев по Q.A. и подписи не помешал бы, но в общем-то и не важен.

qnikst ★★★★★
()
Последнее исправление: qnikst (всего исправлений: 1)
Ответ на: комментарий от init_6

Просто хотел их добавить в друзья свой keyring, потому что считал их супер-клевыми, для этого же и нужны подписи... даже в ссаной Ubuntu так можно.

trupiko
() автор топика

Все правильно написано в man, никто не помешает владельцу оверлея написать вредоностный крипт. Собственно как и с PPA, OBS репозиториями.

bhfq ★★★★★
()
Ответ на: комментарий от qnikst

Спасибо за разъяснение, но можно немного подробнее? Например, репозиторий грузится с быдлохостинга github. Какой уровень безопасности обеспечивает QA в этом случае?

trupiko
() автор топика
Ответ на: комментарий от bhfq

Это понятно, но с apt-key, добавляя ключ мы защищены хотя бы от MiTM-атаки, т.к. при установке проверяются подписи хеш-сумм. A layman не проверяет ни сертификаты SSL-репозиториев (могу ошибаться), ни подписи Manifest-ов, если таковые имеются.

trupiko
() автор топика
Ответ на: комментарий от trupiko

в случае подмены данных в репозитории будет ошибка, если кто-то завладеет аккаунтом и ключем пользователя это не спасёт от новых закладок. Впрочем защита ровно такая же, что и у GPG.

qnikst ★★★★★
()
Ответ на: комментарий от trupiko

A layman не проверяет ни сертификаты SSL-репозиториев (могу ошибаться), ни подписи Manifest-ов, если таковые имеются.

А layman и не должен их проверять. layman всего лишь The layman application is Gentoo's primary overlay management tool, offering centralized repository management for the end user. И все. А вся остальная безопасность, забота о проверках подписей и все прочее на совести portage.

Причем и portage не всесилен и если майнтрейнер оверлея не позаботился о подписях и прочем… Либо решил что оно ему попросту не нужно то и portage ничего с этим не сможет поделать.

Какой уровень безопасности обеспечивает QA в этом случае?

А так тебе важнее что безопасность или некий софт из оверлеев?

Если первое так никто не запрещает тебе держать единственный свой собственный локальный оверлей куда и сливать, предварительно проверив и убедившись что все ок, все недостающее.

Иначе же define «безопасность» в случае, как правило, ~arch и нескольких (десятков ага) оверлеев.

init_6 ★★★★★
()
Ответ на: комментарий от qnikst

Если подменят и хеш и путь до сырцов, никакой ошибки не будет.

А Manifest в ПО оверлеев вообще можно не подписывать оказывается. Но это не важно, т.к. portage все равно не проверяет подписи.

trupiko
() автор топика
Ответ на: комментарий от trupiko

Если подменят и хеш и путь до сырцов, никакой ошибки не будет.

ты теоретик?

А Manifest в ПО оверлеев вообще можно не подписывать оказывается.

можно, более того в дереве подписывать всё начали не так давно.

Но это не важно, т.к. portage все равно не проверяет подписи.

Да неужели? http://www.gentoo.org/news/20041021-portage51.xml

qnikst ★★★★★
()
Ответ на: комментарий от init_6

А вся остальная безопасность, забота о проверках подписей и все прочее на совести portage

Угу. Я уже понял, что лучше будет сделать FR в portage.

А так тебе важнее что безопасность или некий софт из оверлеев?

Безопасность.

Если первое так никто не запрещает тебе держать единственный свой собственный локальный оверлей куда и сливать, предварительно проверив и убедившись что все ок, все недостающее.

Спасибо за совет, пока не запилят фичу с добавлением друзей ключей, так и буду делать.

trupiko
() автор топика
Ответ на: комментарий от qnikst

ты теоретик?

Любой админ шлюза провайдера это сделает за 5 минут. А между мной и сырцами и репозиториями этих шлюзов +100500

trupiko
() автор топика
Ответ на: комментарий от trupiko

Угу. Я уже понял, что лучше будет сделать FR в portage.

лучше всего подтянуть матчасть.

Безопасность.

попробуй подумать, чем отличается синхронизация дерева от синхронизации оверлеев и найти основные отличия, обсняющие почему GPG для дерева необходима, а для оверлеев - незначительный плюс.

qnikst ★★★★★
()
Последнее исправление: qnikst (всего исправлений: 1)
Ответ на: комментарий от trupiko

Любой админ шлюза провайдера это сделает за 5 минут. А между мной и сырцами и репозиториями этих шлюзов +100500

советую попробовать самому, или хотя бы спросить знакомого админа провайдера.

qnikst ★★★★★
()
Ответ на: комментарий от qnikst

Да неужели? http://www.gentoo.org/news/20041021-portage51.xml

Да, тут я обосрался. Не знал, про эту фичу. А можно подробнее, как оно работает, я добавляю список доверенных ключей, или он откуда-то загружается?

Просто. Например, я уже поднимал тему. Ключ virtualenv никем не подписан, значит я его должен или добавить как в случае apt-key, или должен предоставляться список доверенных ключей от gentoo.

trupiko
() автор топика

оверлеи - это сторонние репозитории, и используешь ты их на свой страх и риск

Harald ★★★★★
()
Ответ на: комментарий от qnikst

Да, что там спрашивать. Точно знаю, что прям за мной шлюз со сквидом. Он не умеет подмену http-трафика и поддельные сертификаты с подменой трафика. Не думаю, что это рокет сайенс, хотя сам в этом не разбираюсь.

trupiko
() автор топика
Ответ на: комментарий от trupiko

быстрофикс

Он не умеет подмену http-трафика и поддельные сертификаты с подменой трафика.

Он не умеет подмену http-трафика и поддельные сертификаты с подменой трафика?

trupiko
() автор топика
Ответ на: комментарий от trupiko

Да, тут я обосрался. Не знал, про эту фичу. А можно подробнее, как оно работает, я добавляю список доверенных ключей, или он откуда-то загружается?

Сразу скажу, что данным функционалом я не пользовался, т.к. дерево могу сравнить с cvs, а rsync оверлеями не пользуюсь.

Насколько я знаю: а). в генте есть свой keyserver (ни разу не пользовался, и явно туда свой ключ загружал), плюс информация о ключах в разделе developers (через какое-то время и api будет приклеено), б). открытые ключи меинтейнеров загружены на ключесервера, т.е. когда ты портаж сам туда может обратиться и проверить подпись. Возможно есть ещё какие-то проверки, я честно не знаю.

как-то так..

qnikst ★★★★★
()
Ответ на: комментарий от trupiko

сразу оговорюсь я не пишу про rsync репозитории.

все репозитории работают преимущественно по ssl, все репозитории имеют защиту от M-I-M из-коробки. Т.е. когда ты синхронизируешь репозиторий ты можешь быть уверен, что посреди нет человека, и что ничего не подменяно. Единственный способ атаки - получить физический доступ к репозиторию, что в общем-то не отличается от получения доступа к gpg ключу. На случай с деревом, которое распространяется с зеркал эти рассуждения не распространяются.

qnikst ★★★★★
()
Ответ на: комментарий от trupiko

в общем узнаю текущее состояние отпишусь.

qnikst ★★★★★
()
Ответ на: комментарий от trupiko

отсутсвующая реализация иногда лучше кривой. вангую, что фича приводила к невозможности установить половину нормальных пакетов, или что-то около того.

qnikst ★★★★★
()
Ответ на: комментарий от qnikst

Самая правдоподобная догадка. Но движуха за подписывание была, значит вполне вероятно, что запилят, если им напоминать раз в полгода.

trupiko
() автор топика
Ответ на: комментарий от trupiko

<@dol-sen> the gentoo-keys project uses the source philosophy, it has seed key info, then imports the keys from a server and checks the fingerprints match what was expected

<@dol-sen> there will be a layman seed key file once there are overlays that require it, dev overlays will have the dev gpg keys available already

<@dol-sen> Currently, I am starting to work on the git hook for verifying git commits for the git migration

<@dol-sen> the layman repositories list is slated to be gpg signed, and moved to a different server/url

<@dol-sen> so it will authenticate the repo list it downloads

<@dol-sen> like i said there is preliminary support in layman-9999 already, but I will change it to use the gentoo-keys as the dep which will use the same lib I created to interface gpg for layman, so should be a simple migration

<@dol-sen> it shouldn't be hard to add gpg support into portage using the gentoo-keys project for verification too

qnikst ★★★★★
()
Последнее исправление: qnikst (всего исправлений: 1)

Даже в Ubuntu есть apt-key для ppa

Что мешает запилить в ппа руткит и подписать его?

J ★★★★★
()
Ответ на: комментарий от qnikst

Гуд. Странно, что он это в layman пилит, а не в portage.

Currently, I am starting to work on the git hook for verifying git commits for the git migration

Этого portagу тоже не хватает.

trupiko
() автор топика
Ответ на: комментарий от J

Где найти дурака, который его установит?

trupiko
() автор топика
Ответ на: комментарий от trupiko

туплю

т.е. не странно, только в portage не сделать проверку всего

trupiko
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.