Product SiteDocumentation Site

6.5. بررسی صحت بسته‌ها

امنیت برای مدیرسیستم‌های شرکت فالکات اهمیت بسیاری دارد. به همین دلیل، آن‌ها باید اطمینان حاصل کنند که بسته‌های دریافتی از سرورهای دبیان در میان راه تغییر نمی‌کنند. یک خرابکار رایانه‌ای می‌تواند با قرار دادن کد مخرب در این بسته‌ها اعتبارشان را از بین ببرد. چنین بسته‌ای، در صورت نصب، آنطور که خرابکار طراحی‌اش کرده باشد کار می‌کند، برای نمونه درج گذرواژه‌ها یا اطلاعات حساس کاربر. برای دوری از این خطرات، دبیان از یک مهر و موم خاص -- در زمان نصب -- استفاده می‌کند که اطمینان می‌دهد بسته از منبع رسمی آن آمده و در میانه راه تغییر نکرده است.
این مُهر به همراه مجموعه‌ای از روش‌های رمزنگاری و امضای دیجیتال کار می‌کند. فایل امضا شده فایل Release است، که از طرف سرور اصلی دبیان ارائه می‌شود. این فایل شامل فهرستی از فایل‌های Packages است (که شامل حالت فشرده آن مانند Packages.gz و Packages.xz و نسخه افزایشی هستند) به همراه کدهای MD5، SHA1 و SHA256 که نشان می‌دهند فایل تغییر نکرده است. این فایل‌های Packages شامل فهرستی از بسته‌های دبیان موجود روی سرورهای اصلی هستند، به همراه hash آن‌ها که نشان دهنده عدم تغییر این فایل‌ها می‌باشند.
کلیدهای مورد اعتماد توسط دستور apt-key از بسته apt مدیریت می‌شوند. این برنامه به نگهداری کلیدهای عمومی GnuPG پرداخته که برای اعتبارسنجی امضاهای موجود در فایل‌های Release.gpg روی سرورهای اصلی مورد استفاده قرار می‌گیرد. همچنین می‌توان از آن برای اضافه کردن دستی کلیدها استفاده کرد (زمانی که به سرورهای غیر-رسمی نیاز باشد). به صورت عمومی، تنها کلیدهای رسمی دبیان مورد نیاز هستند. این کلیدهای به صورت خودکار توسط بسته debian-archive-keyring بروزرسانی می‌گردند (که آن‌ها را در /etc/apt/trusted.gpg.d قرار می‌دهد). با این حال، اولین نصب این بسته از اهمیت خاصی برخوردار است: حتی اگر خود بسته مانند سایرین امضا شده باشد، امضا به خودی خود حائز اعتبار نیست. مدیرسیستم‌های محتاط در این رابطه باید fingerprint کلیدهای وارد شده را قبل از نصب سایر بسته‌ها اعتبارسنجی کنند.
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub  4096R/2B90D010 2014-11-21 [expires: 2022-11-19]
   Key fingerprint = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid         Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub  4096R/C857C906 2014-11-21 [expires: 2022-11-19]
   Key fingerprint = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid         Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub  4096R/518E17E1 2013-08-17 [expires: 2021-08-15]
   Key fingerprint = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid         Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-----------------------------------------------------------
pub  4096R/473041FA 2010-08-27 [expires: 2018-03-05]
   Key fingerprint = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid         Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------------
pub  4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
   Key fingerprint = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid         Squeeze Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub  4096R/46925553 2012-04-27 [expires: 2020-04-25]
   Key fingerprint = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid         Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub  4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
   Key fingerprint = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid         Wheezy Stable Release Key <debian-release@lists.debian.org>
زمانی که کلیدهای مناسب در جای خود قرار گیرند، APT قبل از هر عملیاتی به بررسی امضای آن‌ها می‌پردازد، به این منظور که رابط‌های کاربری هنگامی نصب یک بسته غیر قابل اعتماد، هشدار مربوطه را نمایش دهند.