你想要你的更新源只使用散列校验和记录在全局不可变防篡改分类账中的文件雷科尔由提供西格斯托尔项目?我以为你永远不会问,但现在你可以了,多亏了我的新项目适当验证和apt-sigstore公司。我还没有完成适当的稳定版本,所以这是正在进行的工作。要尝试一下,适应以根用户身份从互联网上运行随机内容的现代时代,并运行以下命令。如果您有信任问题,请使用容器或虚拟机。
apt-get安装-y apt-gpg bsdutils wgetwget-nv-O/usr/local/bin/rekor-cli'https://github.com/sigstore/rekor/releases/download/v1.1.0/rekor-cli-linux-amd64'echo afde22f01d9b6f091a7829a6f5d759d185dc0a8f3fd21de22c6ae9463352cf7d/usr/local/bin/rekor-cli|sha256sum-cchmod+x/usr/local/bin/rekor-cliwget-nv-O/usr/local/bin/apt-verify-gpgvhttps://gitlab.com/debdistutils/apt-verify/-/raw/main/apt-verify-gpgvchmod+x/usr/local/bin/apt-verify-gpgvmkdir-p/etc/apt/verify.dln-s/usr/bin/gpgv/etc/apt/verify.decho'APT::Key::gpgvcommand“APT-verify gpgv”;'>/etc/apt/apt.conf.d/75verify等wget-nv-O/etc/apt/verify.d/apt-rekorhttps://gitlab.com/debdistutils/apt-sigstore/-/raw/main/apt-rekorchmod+x/etc/apt/verify.d/apt-rekor更新源less/var/log/syslog
如果星星对齐(木偶项目债务分配和债务清偿最近已经运行了GitLab CI/CD管道)您将看到来自更新源和您的系统日志将包含调试日志,其中显示来自雷科尔您下载的版本索引文件的日志。请参见样本输出在自述文件中。
如果你厌倦了,禁用很容易:
chmod-x/etc/apt/verify.d/apt-rekor
我们的项目目前支持Trisquel GNU/Linux10(纳比亚)和11(亚拉姆),PureOS(纯操作系统)10(拜占庭),侏儒嵌合体,Ubuntu公司20.04(焦点)和22.04(干扰),Debian公司10(buster)和11(bullseye),以及德文GNU+Linux 4.0(chimaera)。其他人可以得到支持,尽管我的重点是符合FSDG分布及其上游。
这是我的apt-canary的前期工作.我意识到最好将适配子的我的新项目apt-验证它提供了一种基于插件的方法,然后重写了apt-canary成为这样的插件。然后apt-sigstore公司的apt-rekor公司是我的第二个插件apt-验证.
由于事物的设计和当前的一些限制,Ubuntu是最不稳定的,因为他们推出了新的signedInRelease(发布中)文件频繁(主要是由于使用了阶段更新百分比)和债务分配和债务清偿CI/CD运行很难跟上。如果您对如何改进这一点有见解,请在问题跟踪比赛情况。
有附加安全性的限制基于rekor的解决方案实际上提供了,但我希望随着我获得联合(cosign)-基于方法的启动和运行。目前适配体受体大多数情况下,有针对性的攻击不那么容易被否认。用一个联合(cosign)-基于这种方法,我们可以设计这样的东西:当更新以不可变的方式公开存档或提交给第三方(如我的Trisquel GNU/Linux aramo的可复制构建设置.
你怎么认为?Hacking快乐!