你想要你的更新源
只使用散列校验和记录在全局不可变防篡改分类账中的文件雷科尔
由提供西格斯托尔项目?我以为你永远不会问,但现在你可以了,多亏了我的新项目适当验证和apt-sigstore公司。我还没有完成适当的稳定版本,所以这是正在进行的工作。要尝试一下,适应以根用户身份从互联网上运行随机内容的现代时代,并运行以下命令。如果您有信任问题,请使用容器或虚拟机。
apt-get安装-y apt-gpg bsdutils wgetwget-nv-O/usr/local/bin/rekor-cli'https://github.com/sigstore/rekor/releases/download/v1.1.0/rekor-cli-linux-amd64'echo afde22f01d9b6f091a7829a6f5d759d185dc0a8f3fd21de22c6ae9463352cf7d/usr/local/bin/rekor-cli|sha256sum-cchmod+x/usr/local/bin/rekor-cliwget-nv-O/usr/local/bin/apt-verify-gpgvhttps://gitlab.com/debdistutils/apt-verify/-/raw/main/apt-verify-gpgvchmod+x/usr/local/bin/apt-verify-gpgvmkdir-p/etc/apt/verify.dln-s/usr/bin/gpgv/etc/apt/verify.decho'APT::Key::gpgvcommand“APT-verify gpgv”;'>/etc/apt/apt.conf.d/75verify等wget-nv-O/etc/apt/verify.d/apt-rekorhttps://gitlab.com/debdistutils/apt-sigstore/-/raw/main/apt-rekorchmod+x/etc/apt/verify.d/apt-rekor更新源less/var/log/syslog
如果星星对齐(木偶项目债务分配和债务清偿最近已经运行了GitLab CI/CD管道)您将看到来自更新源
和您的系统日志
将包含调试日志,其中显示来自雷科尔
您下载的版本索引文件的日志。请参见样本输出在自述文件中。
如果你厌倦了,禁用很容易:
chmod-x/etc/apt/verify.d/apt-rekor
我们的项目目前支持Trisquel GNU/Linux10(纳比亚)和11(亚拉姆),PureOS(纯操作系统)10(拜占庭),侏儒嵌合体,Ubuntu公司20.04(焦点)和22.04(干扰),Debian公司10(buster)和11(bullseye),以及德文GNU+Linux 4.0(chimaera)。其他人可以得到支持,尽管我的重点是符合FSDG分布及其上游。
这是我的apt-canary的前期工作.我意识到最好将适配子的我的新项目apt-验证它提供了一种基于插件的方法,然后重写了apt-canary成为这样的插件。然后apt-sigstore公司的apt-rekor公司是我的第二个插件apt-验证
.
由于事物的设计和当前的一些限制,Ubuntu是最不稳定的,因为他们推出了新的signedInRelease(发布中)
文件频繁(主要是由于使用了阶段更新百分比)和债务分配
和债务清偿
CI/CD运行很难跟上。如果您对如何改进这一点有见解,请在问题跟踪比赛情况。
有附加安全性的限制基于rekor的解决方案实际上提供了,但我希望随着我获得联合(cosign)-基于方法的启动和运行。目前适配体受体
大多数情况下,有针对性的攻击不那么容易被否认。用一个联合(cosign)
-基于这种方法,我们可以设计这样的东西:当更新以不可变的方式公开存档或提交给第三方(如我的Trisquel GNU/Linux aramo的可复制构建设置.
你怎么认为?Hacking快乐!