In che misura i repository yum supplementari sono certificati da CentoS?

Naviga le tue risposte
2

Sto costruendo qualcosa che usa libsodium e funzionerà su Ubuntu e CentOS 7.

Ubunutu ha il pacchetto libsodium-dev , ma CentOS non sembra includerlo per impostazione predefinita.

Vedo istruzioni utilizzare il repository REMI e quindi yum --enablerepo=remi install foo

A quanto ho capito, i contenuti del repository sono firmati crittograficamente con chiavi di verifica della radice distribuite con il sistema operativo. Repository supplementari usati in questo modo certificati da CentOS sono affidabili? Oppure scaricando e installando il repository rpm sto affermando al sistema che I si fida di questo nuovo repository?

    
posta spraff 28.11.2016 - 11:26
fonte

2 risposte

2

Ho appena installato un CentOS fresco lo scorso venerdì, quindi ho una macchina decente per testarlo. E sì, c'è una catena di fiducia più o meno coerente.

libsodium si trova nei repository EPEL . Fa parte del repository REMI, ma REMI è uno dei repository che è praticamente completamente incluso in EPEL. E, se stai già utilizzando un repository RPM al di fuori dei repository di base / extras / updates forniti con CentOS come impostazione predefinita, probabilmente dovresti usare EPEL.

EPEL è gestito dal progetto Fedora e quindi fa parte di RedHat in un modo (il progetto Fedora è parte di RedHat). Ciò significa anche che RedHat EL include un pacchetto RPM firmato (chiamato epel-release , quindi yum install epel-release lo controlla) che (tra un paio di altre modifiche) installerà la chiave PKI in /etc/pki/RPM-GPG-KEY-EPEL-7 . E il pacchetto libsodium nel repository EPEL viene registrato con quella chiave.

Attenzione: i pacchetti EPEL vengono controllati nel modo migliore. E poiché questi pacchetti si evolvono molto più velocemente dei repository di base / extras / updates, possono presentare un rischio più elevato. In altre parole, EPEL ha una catena di fiducia migliore rispetto a prendere i pacchetti direttamente da REMI, eppure, se sei paranoico, non dovresti usare repository extra.

    
risposta data 29.11.2016 - 03:31
fonte
2

CentOS è un sistema operativo. Non può certificare nulla.

Se stai chiedendo se i pacchetti vengono verificati crittograficamente con una chiave che fa parte di CentOS: sì. La chiave pubblica per questo repository fa parte di un'installazione CentOS corrente

Se stai chiedendo se qualcuno ti garantisce che i pacchetti nel repository soddisfano i requisiti che potresti avere: no, nessuno lo fa

Ma stai usando CentOS. Nessuno ti garantisce comunque nulla per il tuo sistema operativo. Se hai bisogno di una protezione legale, devi pagare un contratto di assistenza. Ciò che è esattamente garantito dipende dal tuo contratto.

    
risposta data 28.11.2016 - 15:22
fonte

Leggi altre domande sui tag

Se un hacker ruba dati che tengo su un server, posso essere ritenuto responsabile dalla legge sulla protezione dei dati del Regno Unito? [chiuso] C'è un modo per essere infettati aprendo una e-mail, ad esempio, se un'immagine è allegata all'e-mail?