Product SiteDocumentation Site

6.5. Kiểm tra Tính xác thực Gói

Vấn đề an ninh rất quan trọng đối với các quản trị viên của Falcot Corp. Theo đó, họ cần đảm bảo rằng họ chỉ cài đặt các gói được bảo đảm đến từ Debian mà không bị giả mạo trên đường đi. Một máy tính cracker có thể cố gắng thêm mã nguy hiểm vào một gói hợp pháp khác. Một gói như vậy, nếu được cài đặt, có thể làm bất cứ điều gì mà nó được thiết kế để làm, bao gồm cả việc tiết lộ mật khẩu hoặc thông tin bí mật. Để phá vỡ nguy cơ này, Debian cung cấp một con dấu chứng minh giả mạo để đảm bảo - khi cài đặt - một gói thực sự đến từ người quản lý chính thức và không bị một bên thứ ba sửa đổi.
Con dấu này hoạt động với một chuỗi các bảng mã mật mã và một chữ ký. Tệp đã ký là tệp Release do các Mirror của Debian cung cấp. Nó chứa một danh sách các tập tin Packages (bao gồm cả các dạng nén của chúng, Packages.gzPackages.xz, và các phiên bản gia tăng), cùng với MD5, SHA1 và SHA256 băm của chúng, đảm bảo rằng các tập tin này không bị giả mạo. Các tệp tin Packages này chứa một danh sách các gói Debian có sẵn trên gương, cùng với các tệp băm của chúng, đảm bảo rằng lần lượt các nội dung của các gói cũng không bị thay đổi.
Các khóa tin cậy được quản lý bằng lệnh apt-key tìm thấy trong gói apt. Chương trình này duy trì khoá chính của khóa công khai GnuPG được sử dụng để xác minh chữ ký trong tệp Release.gpg có sẵn trên Mirror. Nó có thể được sử dụng để thêm các khóa mới bằng tay (khi cần Mirror không chính thức). Nói chung, chỉ cần các khóa Debian chính thức. Các khóa này được tự động cập nhật bởi gói debian-archive-keyring (đặt cặp khóa tương ứng trong /etc/apt/trusted.gpg.d). Tuy nhiên, cài đặt đầu tiên của gói cụ thể này đòi hỏi sự thận trọng: ngay cả khi gói được ký kết giống như bất kỳ tệp khác, chữ ký không thể được xác minh bên ngoài. Do đó, các quản trị viên cẩn trọng nên kiểm tra dấu vân tay của chìa khoá nhập trước khi tin tưởng họ để cài đặt các gói mới:
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub   4096R/2B90D010 2014-11-21 [expires: 2022-11-19]
      Key fingerprint = 126C 0D24 BD8A 2942 CC7D  F8AC 7638 D044 2B90 D010
uid                  Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub   4096R/C857C906 2014-11-21 [expires: 2022-11-19]
      Key fingerprint = D211 6914 1CEC D440 F2EB  8DDA 9D6D 8F6B C857 C906
uid                  Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub   4096R/518E17E1 2013-08-17 [expires: 2021-08-15]
      Key fingerprint = 75DD C3C4 A499 F1A1 8CB5  F3C8 CBF8 D6FD 518E 17E1
uid                  Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-----------------------------------------------------------
pub   4096R/473041FA 2010-08-27 [expires: 2018-03-05]
      Key fingerprint = 9FED 2BCB DCD2 9CDF 7626  78CB AED4 B06F 4730 41FA
uid                  Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------------
pub   4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
      Key fingerprint = 0E4E DE2C 7F3E 1FC0 D033  800E 6448 1591 B983 21F9
uid                  Squeeze Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub   4096R/46925553 2012-04-27 [expires: 2020-04-25]
      Key fingerprint = A1BD 8E9D 78F7 FE5C 3E65  D8AF 8B48 AD62 4692 5553
uid                  Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub   4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
      Key fingerprint = ED6D 6527 1AAC F0FF 15D1  2303 6FB2 A1C2 65FF B764
uid                  Wheezy Stable Release Key <debian-release@lists.debian.org>
Một khi các khóa thích hợp nằm trong chùm khóa, APT sẽ kiểm tra các chữ ký trước bất kỳ hoạt động nguy hiểm nào để các kết thúc phía trước hiển thị một cảnh báo nếu được yêu cầu cài đặt một gói mà tính xác thực không thể xác định được.