Product SiteDocumentation Site

6.6. Проверка подлинности пакета

Безопасность очень важна для администраторов Falcot Corp. Соответственно, им необходимо убедиться, что они устанавливают только те пакеты, которые гарантированно получены из Debian, без каких-либо изменений в пути. Компьютерный взломщик может попытаться добавить вредоносный код в вполне законный пакет. Такой пакет, если он установлен, может делать всё, для чего его задумал взломщик, включая, например, раскрытие паролей или конфиденциальной информации. Чтобы обойти этот риск, Debian обеспечивает защиту от несанкционированного доступа, чтобы гарантировать — во время установки — что пакет действительно исходит от его официального сопровождающего и не был изменён третьей стороной.
Печать работает с цепочкой криптографических хэшей и подписью и подробно объясняется в apt-secure(8). Начиная с Debian 10 Buster подписанный файл - это InRelease файл, предоставляемый зеркалами Debian. Существует также устаревший файл под названием Release. Оба содержат список файлов Packages (включая сжатую форму Packages.gz и инкрементные версии), а также их хэши SHA256, гарантирующие, что файлы не были подделаны. Эти файлы Packages хранят список пакетов Debian, доступных на зеркале, вместе с их хэшами, что, в свою очередь, гарантирует, что содержимое самих пакетов также не было изменено. Разница междуInRelease и Release заключается в том, что первый имеет встроенную криптографическую подпись, тогда как второй обеспечивает отдельную подпись в виде файла Release.gpg.

ЗАМЕТКА Будущее Release и Release.gpg

После выпуска Debian 10 Buster было объявлено о намерении удалить поддержку устаревших файлов Release и Release.gpg в APT, используемых с версии 0.6, в которой появилась поддержка аутентификации архива.
APT необходим набор доверенных открытых ключей GnuPG для проверки подписей в файлах InRelease и Release.gpg, доступных на зеркалах. Он получает их из файлов в папке /etc/apt/trusted.gpg.d/ и из набора ключей /etc/apt/trusted.gpg (управляемого командой apt-key). Официальные ключи Debian предоставляются и обновляются с помощью пакета debian-archive-keyring, который помещает их в /etc/apt/trusted.gpg.d/: 
# ls /etc/apt/trusted.gpg.d/
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg

НА ПРАКТИКЕ Добавление доверенных ключей

Когда сторонний источник пакета добавляется в sources.list, APT необходимо указать, чтобы он доверял соответствующему ключу аутентификации GPG (в противном случае он будет продолжать жаловаться, что не может гарантировать подлинность пакетов, поступающих из этого репозитория). Первым шагом, конечно же, является получение открытого ключа. Чаще всего ключ предоставляется в виде небольшого текстового файла, который мы назовём key.asc в следующих примерах.
Чтобы добавить ключ в доверенный набор ключей APT, администратор может просто поместить его в файл *.gpg в /etc/apt/trusted.gpg.d/ (*.asc файлы не рекомендуются и могут вызвать проблемы). Это поддерживается начиная с Debian Stretch. В более старых версиях вам приходилось запускать команду apt-key add < key.asc, которая уже считается устаревшей.
Хотя это очень распространённое поведение, оно также создает возможную проблему. APT не знает, какой ключ к какому репозиторию принадлежит. Если один из ключей в связке ключей APT соответствует подписи архива, APT считает архив аутентифицированным. После добавления ключа в набор доверенных ключей злоумышленник может фактически предоставить свою собственную «версию» зеркала Debian, подписанную тем же ключом. Поэтому на самом деле было бы лучше поместить ключ как файл *.gpg в /usr/share/keyrings/ и использовать поле Signed-By в sources.list для сторонних репозиториев, как показано в примере ниже.
Представьте себе, что у корпорации Falcot есть собственный общедоступный репозиторий, и вы хотите его использовать. Они подписали его и предоставили общедоступный ключ (кольцо ключей) для загрузки. Чтобы ограничить ключ репозиторием, вы можете просто сделать так: 
$ sudo wget -O falcot-keyring.gpg -P /usr/share/keyrings https://packages.falcot.com/debian/repository.gpg
deb [ signed-by=/usr/share/keyrings/falcot-keyring.gpg ] https://packages.falcot.com/debian bullseye main
Помните, что добавление и использование сторонних репозиториев всегда представляет угрозу безопасности и стабильности!
Once the appropriate keys are in the keyring, APT will check the signatures before any risky operation, so that frontends will display a warning if asked to install a package whose authenticity can't be ascertained.
Обратите внимание, что бинарные пакеты обычно не подписываются. Целостность пакета можно подтвердить только путем проверки его хеш-суммы с надежным (и, возможно, подписанным) источником хеш-суммы.

SPECIFIC CASE Unsigned repositories

Хотя в целом неподписанные репозитории использовать не следует, некоторым пользователям они все же могут потребоваться, например, для предоставления некоторых локально собранных пакетов. APT можно заставить принять такой репозиторий, добавив URL-адрес репозитория с помощью allow-insecure=yes или trusted=yes. Мы продемонстрируем это на примере из Раздел 15.3, «Создание репозитория пакетов для APT»: 
deb [ trusted=yes ] http://packages.falcot.com/ updates/
deb [ trusted=yes ] http://packages.falcot.com/ internal/