Product SiteDocumentation Site

6.6. Sjekking av pakkeautensitet

Sikkerheten er veldig viktig for Falcot Corps administratorer. Følgelig må de sørge for at de bare installerer pakker som er garantert å komme fra Debian uten å være tuklet med underveis. En som vil knekke en datamaskin (en cracker) kan prøve å legge ondsinnet kode til en ellers lovlig pakke. En slik pakke, hvis den er installert, kunne gjøre noe knekkeren utviklet det til å gjøre, inkludert for eksempel å avdekke passord eller konfidensiell informasjon. For å omgå denne risikoen gir Debian nye installasjoner en forsegling som det ikke kan kludres med, for å garantere at en pakke virkelig kommer fra dens offisielle vedlikeholder, og ikke er endret av en tredjepart.
Forseglingen fungerer med en kjede av kryptografiske sjekksummer og en signatur og forklares i detalj i apt-secure(8). Fra og med Debian 10 Buster er den signerte filen InRelease-filen, levert av Debian-speilene. Det er også en eldre fil kalt Release. Begge inneholder en liste over Packages-filene (inkludert deres komprimerte skjemaer, Packages.gz og Packages.xz, og de trinnvise versjonene), sammen med SHA-256-sjekksummene, som sikrer at filene ikke har blitt manipulert. Disse Packages-filene inneholder en liste over Debian-pakkene som er tilgjengelige i speilet, sammen med sine sjekksummer, noe som i sin tur sikrer at innholdet i pakkene selv heller ikke har blitt endret. Forskjellen mellom InRelease og Release er at førstnevnte er kryptografisk signert inne i filen, mens sistnevnte gir en frittliggende signatur i form av filen Release.gpg.

NOTE Fremtiden til Release og Release.gpg

Intensjonen med utgivelsen av Debian 10, Buster er å fjerne støtten for de foreldede filene Release og Release.gpg i APT, som har blitt brukt siden APT versjon 0.6, som introduserte støtte for en arkivautentisering.
APT trenger et sett tiltrodde offentlige GnuPG-nøkler for å bekrefte signaturer i filene InRelease og Release.gpg som er tilgjengelige på speilene. Programmet får nøllene fra filer i /etc/apt/trusted.gpg.d/ og fra nøkkelringen /etc/apt/trusted.gpg (administrert av apt-key-kommandoen). De offisielle Debian-nøklene kommer fra og holdes oppdatert av pakken debian-archive-keyring som legger dem i /etc/apt/trusted.gpg.d/: 
# ls /etc/apt/trusted.gpg.d/
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg

I PRAKSIS Å legge til klarerte nøkler

Når en tredjeparts pakkekilde legges til filen sources.list, så må APT bes om å stole på den tilhørende GPG-autentiseringsnøkkelen (ellers vil den klage på at den ikke kan autentisere pakkene fra denne pakkebrønnen). Det første trinnet er selvsagt å få tak i den offentlige nøkkelen. Som oftest vil nøkkelen gjøres tilgjengelig som en liten tekstfil, som vi vil kalle key.asc i eksemplene som følger.
For å legge til nøkkelen til APT sin klarerte nøkkelring, kan administratoren bare sette den i en *.gpg-fil i /etc/apt/trusted.gpg.d/ (*.asc-filer frarådes og kan forårsake problemer). Denne er støttet siden Debian Stretch. Med eldre utgivelser måtte du kjøre apt-key add < key.asc, som allerede tenkes å være foreldet.
Selv om dette er veldig vanlig oppførsel, lager det også et potensielt problem. APT ved ikke hvilken nøkkel som tilhører hvilken pakkebrønn. Hvis en av nøklene i APT sin nøkkelring samsvarer med signaturen til arkivet, vil APT anse arkivet som autentisert. Når en nøkkel har blitt lagt til i den tiltrodde nøkkelringen, kan en ondsinnet angriper faktisk tilby sin egen «versjon» av et Debian-speil signert med samme nøkkel. Derfor kan det faktisk være bedre å putte nøkkelen som en *.gpg-fil inn i /usr/share/keyrings/ og bruke Signed-By-feltet i sources.list for tredjepartspakkebrønner (som vist i eksempelet nedenfor).
Forestill deg at Falcot Corp. kjører sin egen offentlige pakkebrønn og at du vil bruke den. De har signert den og tilbyr en offentlig tilgjengelig nøkkel(ring) man også kan laste ned. For å begrense nøkkelen til pakkebrønnen kan man gjøre dette: 
$ sudo wget -O falcot-keyring.gpg -P /usr/share/keyrings https://packages.falcot.com/debian/repository.gpg
deb [ signed-by=/usr/share/keyrings/falcot-keyring.gpg ] https://packages.falcot.com/debian bullseye main
Ha i minnet at det å legge til og bruke tredjepartspakkebrønner alltid medfører økt sikkerhet- og stabilitetsrisiko!
Når de aktuelle nøklene er i en nøkkelring, vil APT sjekke signaturer før en risikabel operasjon, slik at grenseflatene vil vise en advarsel hvis det er bedt om å installere en pakke der autentisiteten ikke kan påvises.
Merk at binærpakker vanligvis ikke er signerte. Integriteten for en pakke kan bekreftes ved å kontrollere sjekksummen mot en tiltrodd (og mulig signert) sjekksumskilde.

KONKRET TILFELLE Usignerte pakkebrønner

Selv om usignerte pakkebrønner i hovedsak ikke skal brukere kan det hende at noen brukere trenger dem, for eksempel for å tilby noen lokalt bygde pakker. APT kan tvinges til å godta slike pakkebrønner ved å innlede pakkebrønns-nettadressen med allow-insecure=yes eller trusted=yes. Dette vil demonstreres ved å bruke eksempelet fra Seksjon 15.3, «Å lage en pakkebrønn for APT»: 
deb [ trusted=yes ] http://packages.falcot.com/ updates/
deb [ trusted=yes ] http://packages.falcot.com/ internal/