how to check gpg signed Manifest

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

how to check gpg signed Manifest

Alex Efros-4
Hi!

А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как подписаны,
но, по-моему, эти подписи никто не проверяет. И я не смог найти доку как
включить проверку подписей. Единственное, что удалось найти - вариант с
использованием emerge-webrsync[1] вместо emerge --sync, но я бы предпочёл
продолжить использовать emerge --sync (а точнее eix-sync, который его
вызывает). Кроме того, не понятно как быть с подписями в оверлеях - их-то
точно emerge-webrsync не скачает, и что делать если разработчик оверлея
подписывает ebuild-ы и хочется его подписи тоже проверять (или считается,
что раз у оверлеев нет зеркал, то и смысла в подписывании тоже нет)?

[1] http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6

--
                        WBR, Alex.

Reply | Threaded
Open this post in threaded view
|

Re: how to check gpg signed Manifest

Pavel Labushev-4
On Sat, 14 Jun 2014 21:31:04 +0300
Alex Efros <[hidden email]> wrote:

> Hi!
>
> А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как подписаны,
> но, по-моему, эти подписи никто не проверяет. И я не смог найти доку как

Ничего существенного не происходит. И вряд ли стоит ждать - идеология не
та и люди не те. Инициатива и твёрдая позиция практически отсутствует
даже у hardened herd, не говоря об остальных.

> включить проверку подписей. Единственное, что удалось найти - вариант с
> использованием emerge-webrsync[1] вместо emerge --sync, но я бы предпочёл
> продолжить использовать emerge --sync (а точнее eix-sync, который его
> вызывает). Кроме того, не понятно как быть с подписями в оверлеях - их-то

Пока GLEP 58 не реализован полностью (не подписываются eclass-файлы,
профили и т.п.), это бессмысленное упражнение ради ложного чувства
безопасности. Остаётся webrsync-gpg или CVS.

> точно emerge-webrsync не скачает, и что делать если разработчик оверлея
> подписывает ebuild-ы и хочется его подписи тоже проверять (или считается,
> что раз у оверлеев нет зеркал, то и смысла в подписывании тоже нет)?

Невнимание к безопасности _вообще_ свойственно Gentoo-сообществу.
Например, никого по большему счёту не интересует ни аутентичность
дистфайлов (да и как её проверить?), ни тем более аудит изменений в
новых версиях. Обновления в основном тестируются вслепую, попадают в
portage и теструются вслепую уже пользователями. В код заглядывают
редко и избирательно - для решения конкретных проблем. Безопасность
машин разработчиков обеспечивается по самому минимуму, в рамках
ретроактивного подхода и часто с опозданием. В такой ситуации, даже
если все файлы portage будут подписаны и аутентичность ключей
удостоверена, лишь чуть-чуть уменьшится поверхность атаки. И ничего с
этим не поделаешь: или понимать и осознанно принимать риски, или искать
другой дистрибутив, с другой командой, и осваивать другие практики
работы.

attachment0 (853 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: how to check gpg signed Manifest

Alexander Tsoy-3
In reply to this post by Alex Efros-4
On Sun Jun 15 13:09:31 2014 Pavel Labushev <[hidden email]> wrote:
> On Sat, 14 Jun 2014 21:31:04 +0300
> Alex Efros <[hidden email]> wrote:
[snip]

> > точно emerge-webrsync не скачает, и что делать если разработчик оверлея
> > подписывает ebuild-ы и хочется его подписи тоже проверять (или
> > считается, что раз у оверлеев нет зеркал, то и смысла в подписывании
> > тоже нет)?
>
> Невнимание к безопасности _вообще_ свойственно Gentoo-сообществу.
> Например, никого по большему счёту не интересует ни аутентичность
> дистфайлов (да и как её проверить?), ни тем более аудит изменений в
> новых версиях. Обновления в основном тестируются вслепую, попадают в
> portage и теструются вслепую уже пользователями. В код заглядывают
> редко и избирательно - для решения конкретных проблем. Безопасность
> машин разработчиков обеспечивается по самому минимуму, в рамках
> ретроактивного подхода и часто с опозданием. В такой ситуации, даже
> если все файлы portage будут подписаны и аутентичность ключей
> удостоверена, лишь чуть-чуть уменьшится поверхность атаки. И ничего с
> этим не поделаешь: или понимать и осознанно принимать риски, или искать
> другой дистрибутив, с другой командой, и осваивать другие практики
> работы.

Не очень понятно, почему вышеперечисленные примеры свойственны только Gentoo, и как эти проблемы решены в других дистибутивах, вернее как они вообще могут быть решены. Так себе и представил редхатовцев и дебианщиков, проводящих аудит изменений в апстримном коде, ага.

--
Alexander Tsoy

Reply | Threaded
Open this post in threaded view
|

Re: how to check gpg signed Manifest

Pavel Labushev-4
On Mon, 16 Jun 2014 00:46:04 +0400
Alexander Tsoy <[hidden email]> wrote:

> Не очень понятно, почему вышеперечисленные примеры свойственны только Gentoo, и как эти проблемы решены в других дистибутивах, вернее как они вообще могут быть решены. Так себе и представил редхатовцев и дебианщиков, проводящих аудит изменений в апстримном коде, ага.

Они свойственны Gentoo в существенно большей мере и хорошо познаются в
сравнении. Например, обновление кода в Gentoo производится намного чаще
и в гораздо больших объёмах. Плюс нет окон поддержки замороженных
LTS-веток, нет более чёткого разделения на обновления безопасности,
рекомендованные и прочие. Практика осмысленного принятия выборочных
изменений в код применяется лишь в очень редких случаях и чаще не
вместо, а наряду с полным обновлением версий пакетов. И если
пользователь LTS-ветки бинарного дистрибутива может обладать хотя бы
принципиальной возможностью самостоятельно проводить аудит патчей когда
тех пакетов, которыми он пользуется, то у пользователей Gentoo в рамках
общепринятой практики такой возможности нет.

Обновления безопасности - отдельная тема. В Gentoo они часто выходят с
бОльшим запозданием, чем в тех же Debian/Ubuntu или RHEL. Мне,
например, раньше приходилось собирать свежие версии Firefox и
Thunderbird с обновлениями безопасности за несколько дней до их
появления в portage. А также патчить в локальном оверлее некоторые
пакеты, которые порой не обновлялись в portage неделями - навскидку это
MySQL, PostgreSQL и glibc.

Но если векторы атаки на glibc и СУБД чаще локальные, то в случае
браузеров и почтовых клиентов всё иначе. И не один я, надо полагать,
сталкивался с запоздалым выходом обновлений к ним. Мейнтейнеры
некоторых пакетов - тоже. А ведь в большинстве своём это люди, которые
не пользуются проактивной защитой (hardened-ядра и сопутствующие
модификации пакетов). И это в довесок к тому, что они запускают всякий
хлам не только в одной системе, но и под одним и тем же пользователем на
общем X11-дисплее.

Да, проблемы есть везде, но в разной мере, с разными последствиями и
рисками в зависимости от ситуации. Иногда эти различия настолько
существенны, что способны перевести лучшие практики в разряд культа
Карго. Как _на мой взгляд_ и обстоит дело с проверкой подписей файлов в
portage.

Что касается решений проблем, а вернее, способов снижения рисков до
существенно меньшего уровня и установления контроля за потенциальными
последствиями атак - они есть, но лежат в другой плоскости и предметно
их обсуждать в рамках назревающего холивара едва ли стоит. Ключевые
слова: proactive secuirty, decentralized package manager, sandboxing.

attachment0 (853 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: how to check gpg signed Manifest

Sergey Popov
In reply to this post by Alex Efros-4
14.06.2014 22:31, Alex Efros пишет:

> Hi!
>
> А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как подписаны,
> но, по-моему, эти подписи никто не проверяет. И я не смог найти доку как
> включить проверку подписей. Единственное, что удалось найти - вариант с
> использованием emerge-webrsync[1] вместо emerge --sync, но я бы предпочёл
> продолжить использовать emerge --sync (а точнее eix-sync, который его
> вызывает). Кроме того, не понятно как быть с подписями в оверлеях - их-то
> точно emerge-webrsync не скачает, и что делать если разработчик оверлея
> подписывает ebuild-ы и хочется его подписи тоже проверять (или считается,
> что раз у оверлеев нет зеркал, то и смысла в подписывании тоже нет)?
>
> [1] http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6
>
В данный момент я думаю всё же никак, если только не импортировать все
ключи разработчиков отсюда[1] в локальный keyring.

Ведётся разработка gentoo-keys[2], где по идее должна быть подобная
фича. Но недостаток людей очень остро бъёт по скорости реализации фич.

Это не разгильдяйство, как тут заметили, это банальная нехватка рабочих
рук, страничка "Требуется" не даст соврать[3] :-(

С security последнее время начались подвижки(благодаря мне и еще
нескольким новеньким там), но там просто чёртова прорва работы, на
которую меня уже начинает нехватать.

[1] - http://www.gentoo.org/proj/en/devrel/roll-call/userinfo.xml
[2] - http://wiki.gentoo.org/wiki/Project:Gentoo-keys
[3] - http://wiki.gentoo.org/wiki/Project:Gentoo/Staffing_Needs

--
Best regards, Sergey Popov
Gentoo developer
Gentoo Desktop Effects project lead
Gentoo Qt project lead
Gentoo Proxy maintainers project lead


signature.asc (567 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: how to check gpg signed Manifest

Alexander Tiurin-2

On Mon, 16 Jun 2014 13:35:00 +0400
Sergey Popov <[hidden email]> wrote:

> 14.06.2014 22:31, Alex Efros пишет:
> > Hi!
> >
> > А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как
> > подписаны, но, по-моему, эти подписи никто не проверяет. И я не
> > смог найти доку как включить проверку подписей. Единственное, что
> > удалось найти - вариант с использованием emerge-webrsync[1] вместо
> > emerge --sync, но я бы предпочёл продолжить использовать emerge
> > --sync (а точнее eix-sync, который его вызывает). Кроме того, не
> > понятно как быть с подписями в оверлеях - их-то точно
> > emerge-webrsync не скачает, и что делать если разработчик оверлея
> > подписывает ebuild-ы и хочется его подписи тоже проверять (или
> > считается, что раз у оверлеев нет зеркал, то и смысла в
> > подписывании тоже нет)?
> >
> > [1]
> > http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6
> >
>
> В данный момент я думаю всё же никак, если только не импортировать все
> ключи разработчиков отсюда[1] в локальный keyring.
>
> Ведётся разработка gentoo-keys[2], где по идее должна быть подобная
> фича. Но недостаток людей очень остро бъёт по скорости реализации фич.
>
> Это не разгильдяйство, как тут заметили, это банальная нехватка
> рабочих рук, страничка "Требуется" не даст соврать[3] :-(
>
> С security последнее время начались подвижки(благодаря мне и еще
> нескольким новеньким там), но там просто чёртова прорва работы, на
> которую меня уже начинает нехватать.
>
> [1] - http://www.gentoo.org/proj/en/devrel/roll-call/userinfo.xml
> [2] - http://wiki.gentoo.org/wiki/Project:Gentoo-keys
> [3] - http://wiki.gentoo.org/wiki/Project:Gentoo/Staffing_Needs
>

В чем прорва заключается, можно чуть подробнее? Нам опять грозит
отсутствие GLSA как это было ЕМНИП год или два назад?


Reply | Threaded
Open this post in threaded view
|

Re: how to check gpg signed Manifest

Sergey Popov
20.06.2014 13:10, Alexander Y. Tiurin пишет:

>
> On Mon, 16 Jun 2014 13:35:00 +0400
> Sergey Popov <[hidden email]> wrote:
>
>> 14.06.2014 22:31, Alex Efros пишет:
>>> Hi!
>>>
>>> А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как
>>> подписаны, но, по-моему, эти подписи никто не проверяет. И я не
>>> смог найти доку как включить проверку подписей. Единственное, что
>>> удалось найти - вариант с использованием emerge-webrsync[1] вместо
>>> emerge --sync, но я бы предпочёл продолжить использовать emerge
>>> --sync (а точнее eix-sync, который его вызывает). Кроме того, не
>>> понятно как быть с подписями в оверлеях - их-то точно
>>> emerge-webrsync не скачает, и что делать если разработчик оверлея
>>> подписывает ebuild-ы и хочется его подписи тоже проверять (или
>>> считается, что раз у оверлеев нет зеркал, то и смысла в
>>> подписывании тоже нет)?
>>>
>>> [1]
>>> http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6
>>>
>>
>> В данный момент я думаю всё же никак, если только не импортировать все
>> ключи разработчиков отсюда[1] в локальный keyring.
>>
>> Ведётся разработка gentoo-keys[2], где по идее должна быть подобная
>> фича. Но недостаток людей очень остро бъёт по скорости реализации фич.
>>
>> Это не разгильдяйство, как тут заметили, это банальная нехватка
>> рабочих рук, страничка "Требуется" не даст соврать[3] :-(
>>
>> С security последнее время начались подвижки(благодаря мне и еще
>> нескольким новеньким там), но там просто чёртова прорва работы, на
>> которую меня уже начинает нехватать.
>>
>> [1] - http://www.gentoo.org/proj/en/devrel/roll-call/userinfo.xml
>> [2] - http://wiki.gentoo.org/wiki/Project:Gentoo-keys
>> [3] - http://wiki.gentoo.org/wiki/Project:Gentoo/Staffing_Needs
>>
>
> В чем прорва заключается, можно чуть подробнее? Нам опять грозит
> отсутствие GLSA как это было ЕМНИП год или два назад?
>
>
Прорва заключается в том, что мы закрываем за месяц 100 багов, а
открывается их 200(условно). И уследить за всеми ними от начала и до
конца(апстрим-коммит, релиз или снапшот, ебилд, стабилизация, GLSA,
закрытие бага) очень сложно.

А еще security-аудит, который тоже нужно как бы проводить периодически, да.

Про hardened я даже не заикаюсь - там отдельная команда, у них тоже
головной боли хватает.

--
Best regards, Sergey Popov
Gentoo developer
Gentoo Desktop Effects project lead
Gentoo Qt project lead
Gentoo Proxy maintainers project lead


signature.asc (567 bytes) Download Attachment