אימות אותנטיות החבילה ממדריך Kali Linux מאת OnWorks

עבור לתוכן

8.3.6. אימות אותנטיות החבילה‌

שדרוגי מערכת הם פעולות רגישות מאוד ואתה באמת רוצה להבטיח שתתקין רק חבילות רשמיות ממאגרי Kali. אם המראה של Kali שבה אתה משתמש נפגעה, קרקר מחשב יכול לנסות להוסיף קוד זדוני לחבילה לגיטימית אחרת. חבילה כזו, אם מותקנת, יכולה לעשות כל מה שהמפצח תיכנן אותה לעשות, כולל חשיפת סיסמאות או מידע סודי. כדי לעקוף את הסיכון הזה, קאלי מספקת חותם חסין חבלה כדי להבטיח - בזמן ההתקנה - שחבילה באמת מגיעה מהמתחזק הרשמי שלה ולא שונתה על ידי צד שלישי.

החותם עובד עם שרשרת של גיבוב קריפטוגרפי וחתימה. הקובץ החתום הוא לשחרר קובץ, מסופק על ידי מראות קאלי. הוא מכיל רשימה של חבילות קבצים (כולל הטפסים הדחוסים שלהם, חבילות.gz ו Packages.xz, והגרסאות המצטברות), יחד עם הגיבובים של MD5, SHA1 ו-SHA256 שלהם, מה שמבטיח שלא התעסקו בקבצים. אלה

קובצי החבילות מכילים רשימה של חבילות דביאן הזמינות ב-mirror יחד עם ה-hash שלהם, מה שמבטיח בתורו שגם תוכן החבילות עצמן לא השתנה.

המפתחות המהימנים מנוהלים עם ה- מפתח apt הפקודה שנמצאה ב- מַתְאִים חֲבִילָה. תוכנית זו שומרת על מחזיק מפתחות של מפתחות ציבוריים של GnuPG, המשמשים לאימות חתימות ב- Release.gpg קבצים זמינים במראות. ניתן להשתמש בו כדי להוסיף מפתחות חדשים באופן ידני (כאשר יש צורך במראות לא רשמיות). עם זאת, בדרך כלל, יש צורך רק במפתחות Kali הרשמיים. מפתחות אלה נשמרים מעודכנים אוטומטית על ידי kali-archive-keyring חבילה (שמכניסה את מחזיקי המפתחות המתאימים /etc/apt/trusted.gpg.d). עם זאת, ההתקנה הראשונה של החבילה הספציפית הזו דורשת זהירות: גם אם החבילה חתומה כמו כל חבילה אחרת, לא ניתן לאמת את החתימה חיצונית. לכן, מנהלי מערכת זהירים צריכים לבדוק את טביעות האצבע של מפתחות מיובאים לפני שהם נותנים אמון בהם כדי להתקין חבילות חדשות:

תמונה

# טביעת אצבע של מפתח apt

/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg

-------------------------------------------------- -------- פאב 4096R/2B90D010 2014-11-21 [תוקף: 2022-11-19]

טביעת אצבע של מפתח = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010

uid ארכיון דביאן מפתח חתימה אוטומטית (8/jessie)[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg

-------------------------------------------------- ------------------ פאב 4096R/C857C906 2014-11-21 [תוקף: 2022-11-19]

טביעת אצבע של מפתח = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906

uid Debian Security Archive מפתח חתימה אוטומטית (8/jessie)[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg

-------------------------------------------------- ----- פאב 4096R/518E17E1 2013-08-17 [תוקף: 2021-08-15]

טביעת אצבע של מפתח = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1

uid מפתח שחרור יציב של ג'סי[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg

-------------------------------------------------- ---------- פאב 4096R/473041FA 2010-08-27 [תוקף: 2018-03-05]

טביעת אצבע של מפתח = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA

uid Debian Archive Key Signing Automatic (6.0/squeeze)[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg

-------------------------------------------------- ------ פאב 4096R/B98321F9 2010-08-07 [תוקף: 2017-08-05]

טביעת אצבע של מפתח = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9

uid מפתח שחרור יציב לסחוט[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg

-------------------------------------------------- -------- פאב 4096R/46925553 2012-04-27 [תוקף: 2020-04-25]

טביעת אצבע של מפתח = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553

uid Debian Archive Key Signing Automatic (7.0/wheezy)[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg

-------------------------------------------------- ----- פאב 4096R/65FFB764 2012-05-08 [תוקף: 2019-05-07]

טביעת אצבע של מפתח = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764

uid מפתח שחרור יציב של וויזי[מוגן בדוא"ל]>

/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg

-----------------------------------------------

pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]

טביעת אצבע של מפתח = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

uid מאגר לינוקס של Kali[מוגן בדוא"ל]> sub 4096R/FC0D0DCB 2012-03-05 [תוקף: 2018-02-02]

/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg

-----------------------------------------------

pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]

טביעת אצבע של מפתח = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

uid מאגר לינוקס של Kali[מוגן בדוא"ל]> sub 4096R/FC0D0DCB 2012-03-05 [תוקף: 2018-02-02]

כאשר מקור חבילה של צד שלישי נוסף ל- sources.list קובץ, יש לומר ל-APT לסמוך על מפתח האימות המתאים של GPG (אחרת הוא ימשיך להתלונן שהוא לא יכול להבטיח את האותנטיות של החבילות המגיעות מהמאגר הזה). הצעד הראשון הוא כמובן לקבל את המפתח הציבורי. לרוב, המפתח יסופק כקובץ טקסט קטן, שאליו נקרא key.asc בדוגמאות הבאות.

כדי להוסיף את המפתח למחזיק המפתחות המהימן, המנהל יכול להפעיל apt-key add < key.asc. דרך אחרת היא להשתמש ב- הסינפטי ממשק גרפי: לשונית האימות שלו ב- הגדרות

→ מאגרים התפריט מספק את היכולת לייבא מפתח מה- key.asc קובץ.

לאנשים שמעדיפים אפליקציה ייעודית ופרטים נוספים על המפתחות המהימנים, אפשר להשתמש מפתח gui-apt (בחבילה באותו שם), ממשק משתמש גרפי קטן המנהל את מחזיק המפתחות המהימן.

ברגע שהמפתחות המתאימים נמצאים במחזיק המפתחות, APT תבדוק את החתימות לפני כל פעולה מסוכנת, כך שחזיתות יציגו אזהרה אם תתבקשו להתקין חבילה שלא ניתן לוודא את האותנטיות שלה.

<הקודם | תוכן | הבא>