কোন লিনাক্স ডিস্ট্রোর প্যাকেজ সংগ্রহস্থলগুলি নিরাপদ এবং কোনটি নয়?


14

আমি জানি বেশিরভাগ ডিস্ট্রোতে এমন এক ধরণের সংগ্রহস্থল কার্যকারিতা রয়েছে যেখানে ইনস্টলেশনের পরে নতুন প্যাকেজগুলি ডাউনলোড করা যেতে পারে। কোন ডিস্ট্রোসরা সুরক্ষিত উপায়ে এটি করে এবং কোন সুরক্ষিত উপায়ে এটি করে না।

আমি বিশেষত আক্রমণভাগের ভেক্টরগুলিকে ম্যান-ইন-মিডল এবং রেপোজিটারি মেটা সার্ভার এবং রেপোজিটরি ফাইলের আয়না উভয় ক্ষেত্রে সুরক্ষা লঙ্ঘনের মতো সমস্যাগুলি সম্পর্কে ভাবছি।

আমি শুনেছি স্ল্যাকওয়ার এবং আর্চ লিনাক্স উভয়ই খুব দুর্বল কারণ তাদের প্যাকেজ স্বাক্ষরের অভাব রয়েছে। এটা কি সত্য? অন্য কোনও বড় লিনাক্স ডিস্ট্রো কি সাধারণ-মধ্য-আক্রমণের জন্য দুর্বল?


যদি ডিস্ট্রোর সাইট ক্লিয়ারটেক্সট http বা ftp হয় এবং এই সংযোগ থেকে ডিস্ট্রো একটি আইসো হিসাবে প্রাপ্ত হয় এবং এই বেস সংযোগটি আপডেট প্যাকেজগুলিতে কোনও 'পোস্ট-মর্টেম' প্যাকেজ স্বাক্ষর করতে কতটা ভাল?
n611x007

উত্তর:


7

এটি আপনার প্রশ্নের সরাসরি উত্তর নয়, তবে এই ঝুঁকি থেকে রক্ষা পেতে আপনি করতে পারেন এমন বেশ কয়েকটি জিনিস। সবচেয়ে সহজ হ'ল চেকসামগুলির বিরুদ্ধে আপনার ডাউনলোড করা প্যাকেজগুলি চেকসামের বিরুদ্ধে পরীক্ষা করা যা আপনি ডাউনলোড করেছেন তার চেয়ে আলাদা মিরর থেকে check

যখন আমার প্যাকেজ পরিচালক ( poldek) কোনও প্যাকেজ ডাউনলোড করে, আমি এটি ডাউনলোড করা আরপিএমের একটি অনুলিপি একটি ক্যাশে ফোল্ডারে রাখি to এটি প্যাকেজ সংগ্রহস্থলের বিরুদ্ধে ডাউনলোডের চেকসামটি স্বয়ংক্রিয়ভাবে চেক করে এবং কোনও অমিলের বিষয়ে সতর্ক করে / বিসর্জন দেয় তবে আপনি যদি আপনার ডিস্ট্রো সংগ্রহস্থলের বিরুদ্ধে ম্যান-ইন-দ্য-মিডল আক্রমণ সম্পর্কে উদ্বিগ্ন হন তবে এটি একটি দ্বিতীয় গৌণ স্ক্রিপ্ট লিখতে সহজ হবে যা ব্রাউজ করে through আপনার সমস্ত ডাউনলোড করা প্যাকেজ রয়েছে এবং আপনি আলাদা আয়না থেকে ডাউনলোড করেছেন চেকসামের বিরুদ্ধে তাদের যাচাই করুন। এমনকি আপনার প্রথম ইনস্টলটি শুকনো রান হিসাবে চালাতে পারেন যাতে প্যাকেজগুলি ডাউনলোড হয়ে যায় তবে ইনস্টল না হয়, তারপরে আপনার যাচাই স্ক্রিপ্টটি চালান, তারপরে প্রকৃত ইনস্টলটি করুন।

এটি কোনও আপোষযুক্ত প্যাকেজটিকে ডিস্ট্রোর সংগ্রহস্থলে প্রবেশ করা থেকে বিরত রাখে না, তবে বেশিরভাগ ডিস্ট্রোদের কাছে এটি প্রশমিত করার অন্যান্য উপায় রয়েছে এবং স্বাক্ষরিত প্যাকেজগুলিও গ্যারান্টি দেয় না এটি কখনই সমস্যা ছিল না। এটি যা করে তা হ'ল মধ্য-আক্রমণের ভেক্টরকে লক্ষ্যবস্তু করে তোলে। একটি পৃথক উত্স ব্যবহার করে এবং একটি পৃথক চ্যানেলে ডাউনলোড করে, আপনি কোনও স্বাচ্ছন্দ্যযুক্ত প্যাকেজটিকে কোনও টেপড লাইনে ফেলে দেওয়া যেতে পারে সেই স্বাচ্ছন্দ্যকে হত্যা করবেন।


1
আর্ক নামে একটি প্যাকেজ রয়েছে যা paccheckএটি করে, এটি ইনস্টলেশন করার আগে বিভিন্ন আয়নাগুলির সাথে প্যাকেজগুলির তুলনা করে এবং কোনও ত্রুটির বিষয়ে সতর্ক করে।
ওল্ফ

মিরর তালিকাগুলি সম্ভবত সর্বজনীন, সুতরাং কোনও আক্রমণকারী কি তাত্ত্বিকভাবে প্যাটার্ন অনুসারে তাদের সকলকে এমআইটিএম-তে প্লট করতে পারে না? যদি কোনও আক্রমণকারী নির্দিষ্টভাবে আপনার সার্ভারকে লক্ষ্য করে তোলে তবে কি আরও বেশি সম্ভাবনা রয়েছে বলে মনে হচ্ছে না? তবুও এটি সম্ভবত লিনাক্স-সংখ্যাগরিষ্ঠ যা করবে তার চেয়ে বেশি।
n611x007

10

দেবিয়ান প্যাকেজগুলি চেকসামড করা হয় এবং চেকসামগুলি দেবিয়ান কেরিংয়ের একটি কী দ্বারা স্বাক্ষরিত হয়। aptপ্যাকেজ ম্যানেজার নিশ্চিত ডাউনলোড করা প্যাকেজ সঠিক চেকসাম আছে এবং যে চেকসাম ফাইল সঠিকভাবে সই হয়।


5

ফেডোরা প্যাকেজগুলি স্বাক্ষরিত এবং চেকসম্মত হয়। এমনকি তৃতীয় পক্ষের সংগ্রহস্থল যেমন rpmfusion তাদের প্যাকেজগুলিতে স্বাক্ষর করে।

ইয়াম (প্যাকেজ ম্যানেজার) --nogpgcheckস্বাক্ষরিত হয়নি এমন প্যাকেজগুলি ইনস্টল করার জন্য একটি বিশেষ পতাকা () প্রয়োজন ।


এবং তাই ডাউনস্টেইম প্যাকেজগুলি যেমন রেড হ্যাট এবং
সেন্টোস

3

সমস্ত বিট লিনাক্স প্যাকেজগুলিতে সমস্ত বিট রয়েছে কিনা তা পরীক্ষা করতে একটি এমডি 5 বা শ 1 যোগ ব্যবহার করে। হ্যাশিং অ্যালগরিদম চয়ন করার জন্য এটি প্যাকেজ রক্ষণাবেক্ষণকারীদের। আউর থেকে ইনস্টল করা প্যাকেজগুলি (প্রায়শই একটি ছোট পিকেজিইউএলডিডি পাঠ্য ফাইল) ইনস্টল হওয়ার আগে ইনস্টলির দ্বারা পরীক্ষা করার কথা। অফিসিয়াল বাইনারি প্যাকেজ সমেত ভাণ্ডারগুলি বিশ্বস্ত ব্যবহারকারী (টিইউ) দ্বারা তদারকি করা হয়।

আপডেট : আর্চ এখন প্যাকম্যান 4 এর সাথে প্যাকেজ সাইনিং চালু করেছে


2
সমস্ত সত্য, তবে প্যাকেজগুলি স্বাক্ষরিত নয় এবং তাই এমআইটিএম এবং আয়না সমঝোতার আক্রমণে ঝুঁকির মধ্যে থেকে যায়, তবে সম্ভাবনাটি দূরবর্তী। এটি একটি দীর্ঘ-অনুরোধ করা বৈশিষ্ট্য এবং আমি ক্রোধজনকভাবে আর্চ ব্যবহার বন্ধ করে দেওয়ার মূল কারণ। এটি বলেছিল, আর্ক এবং প্যাকম্যান ফোরাম এবং উইকিতে এটি নিয়ে চলমান আলোচনা চলছে - এটি সমাধান করা একটি কঠিন সমস্যা। এই সমস্যাটি ছাড়াও, আর্চ একটি দুর্দান্ত ডিস্ট্রো।
এলি হেডি

@ এলি: আমি এর সত্যতা নিয়ে বিতর্ক করছি না - আমার পরিস্থিতি সম্পর্কে কোনও ধারণা নেই - তবে আক্রমণ করার জন্য এটি কী অবর্ণনীয় পাতলা বাজার হবে না? মঞ্জুর, আর্চ বেশ জনপ্রিয় ডিস্ট্রো, তবে এই সব ধরণের দুষ্টামি সাধারণত একটি বক বানাতে সক্ষম হওয়ার আগেই পূর্বাভাস দেয় না?
Boehj

1
অবশ্যই, উইন্ডোজ ইউজারবেইস লিনাক্সের চেয়ে বেশি লক্ষ্যবস্তু হওয়ার কারণেই কি? জিনিসটি হ'ল, যা সামগ্রিক ক্ষেত্রে প্রযোজ্য তা সাধারণত ব্যক্তির ক্ষেত্রে ঠিক প্রয়োগ হয় না। আমার অর্থ হ'ল প্রত্যেকের হুমকির মডেলটি আলাদা - যদি আপনার কোনও আক্রমণে একত্রিত হওয়ার আশঙ্কার কারণ থাকে তবে আপনার ঝুঁকি হ্রাস করার জন্য উপযুক্ত পদক্ষেপ নেওয়া উচিত। প্যাকেজ স্বাক্ষরের অভাব আক্রমণ আক্রমণকারী ভেক্টরগুলিকে উপস্থাপন করে যাগুলি ব্যবহার করা খুব বেশি কঠিন নয়। আপনার যদি সুরক্ষার জন্য মূল্যবান বিট থাকে তবে আপনার হুমকি প্রশমন কৌশলটি এই বিষয়টি বিবেচনায় নেওয়া উচিত।
এলি হেডি

আপনি কোনও সিডি / ডিভিডি থেকে আর্চ ইনস্টল করতে পারবেন এবং তারপরে বাইনারি প্যাকেজগুলির md5 / sha1 স্যামগুলি ইনস্টল করার আগে বেশ কয়েকটি আয়না থেকে প্রাপ্ত পরিমাণের সাথে ক্যালাবের পরামর্শ অনুসারে পরীক্ষা করে দেখতে পারেন to প্যাকেজ স্বাক্ষর করার বিষয়টি আমি দেখতে পেলাম এবং আর্চ এটি পেয়েছে তা সত্ত্বেও কোনও ক্ষেত্রেই 100% নিরাপত্তা নেই।
আলেকজান্ডার

সুতরাং এটি কীভাবে অর্জন করা যায় যে চেকসামটি নিরাপদে সরবরাহ করা হয় যাতে ক্লিয়ারটেক্সট HTTP বা ftp? স্বাক্ষর যাচাইয়ের জায়গায় থাকা উচিত কী অর্থ দিয়ে এটি খিলানটিতে ঠিক ঘটে?
n611x007

1

কে বলেছে স্ল্যাকওয়ারের কোন প্যাকেজ স্বাক্ষর নেই?

স্ল্যাকওয়্যার প্যাকেজগুলি স্ল্যাকওয়ারের একটি সর্বজনীন কীতে স্বাক্ষরিত। সুতরাং প্রতিটি প্যাকেজের এক্সটেনশন সহ স্বাক্ষর থাকে .asc। কেবল প্যাকেজই নয় অন্যান্য ফাইলগুলিও স্বাক্ষরিত হয়, যেমন CHECKSUMS.MD5। এটিতে প্যাকেজগুলির চেকসামের তালিকা রয়েছে।

slackpkgমিরর থেকে প্যাকেজগুলি ডাউনলোড / ইনস্টল করার জন্য ডাস্ট্রোর একটি অফিসিয়াল সরঞ্জাম রয়েছে । slackpkg updateসরঞ্জামটির সাহায্যে স্থানীয় রেপো ডাটাবেস আপডেট করার পরে নতুন এমডি 5 ফাইল এবং চেঞ্জলগ ইত্যাদির স্বাক্ষরের বৈধতা পরীক্ষা করে ...

একটি প্যাকেজ ডাউনলোড করার পরে (তবে ইনস্টল করার আগে) প্যাকেজের স্বাক্ষর এবং MD5 চেক করা হয়।

একের সাথে সর্বজনীন কীটি slackpkg update gpgইনস্টল সিডি থেকে এটিকে আমদানি করে বা আমদানি করতে পারেgpg --import GPG-KEY

slapt-getস্ল্যাকওয়ারের জন্য অন্য একটি আনুষ্ঠানিক সরঞ্জাম রয়েছে । এটি জিপিজি-চেকগুলিকেও সমর্থন করে! একইভাবে slackpkg


-2

এখন পর্যন্ত ওপেনবিএসডি। পুরো প্রকল্পটি নিরাপত্তার আশেপাশে নিবেদিত, টিম এমনকি 5000+ লাইন প্যাচটি মূল অ্যাপাচে রেখেছিল কারণ তারা মনে করেনি এটি ব্যবহারের পক্ষে যথেষ্ট সুরক্ষিত। এটি pkg_add এর মাধ্যমে তবে আমার কখনই সমস্যা হয়নি।


4
আপনি এই প্রশ্নের উত্তর দিচ্ছেন না: এটি বিশেষত ডাউনলোড প্যাকেজগুলির স্বাক্ষর যাচাই করা (এবং পোর্টগুলি, * বিএসডি ক্ষেত্রে) যাচাইয়ের বিষয়ে।
গিলস'স'- দুষ্ট হওয়া বন্ধ করুন '

1
আমি @ গিলসের সাথে একমত; ওপেনবিএসডি একটি দুর্দান্ত ওএস, তবে @grm লিনাক্স প্যাকেজ বিতরণ সুরক্ষা সম্পর্কে জিজ্ঞাসা করেছিল।
লিভিংস্ট্যাচাটো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.