Rebuilderd - Ein unabhängiges System zur Überprüfung von Binärpaketen für Arch Linux

Darkcrizt

4 Minuten

Umbau

Vor kurzem Der Start von "Rebuilderd" wurde angekündigt welches als positioniert ist ein unabhängiges Verifizierungssystem für Binärpakete dass Ermöglicht die Organisation der Überprüfung der Pakete einer Distribution durch Implementieren eines laufenden Erstellungsprozesses, der die herunterladbaren Pakete mit den Paketen vergleicht, die als Ergebnis der Neuerstellung auf dem lokalen System empfangen wurden.

Mit anderen Worten, Dieses System bietet einen Dienst, der den Status des Paketindex überwacht und starten Sie automatisch die Neuerstellung neuer Pakete in der Referenzumgebung. deren Status mit den Umgebungseinstellungen synchronisiert ist Arch Linux Haupt-Build-Paket.

Beim erneuten Kompilieren Nuancen wie die genaue Entsprechung der Abhängigkeiten werden berücksichtigt, die Verwendung unveränderter Builds und Versionen der Build-Tools, die identischen Optionen und Standardeinstellungen sowie die Beibehaltung der Dateizusammenstellungsreihenfolge (unter Verwendung derselben Sortiermethoden).

Die Einstellungen für den Erstellungsprozess schließen den Compiler aus, inkonsistente Übersichtsinformationen wie Zufallswerte, Links zu Dateipfaden und Daten zum Datum und zur Uhrzeit der Kompilierung hinzuzufügen.

Über Rebuilderd

Derzeit ist nur experimentelle Unterstützung für die Überprüfung von Arch Linux-Paketen verfügbar mit Wiederaufbau, plant aber bald Debian-Unterstützung hinzuzufügen.

Derzeit Wiederholbare Builds werden für 84.1% der Pakete bereitgestellt Aus dem Haupt-Repository von Arch Linux stammen 83.8% aus dem Extras-Repository und 76.9% aus dem Community-Repository. Zum Vergleich: In Debian 10 beträgt diese Zahl 94,1%.

Builds sind ein wichtiger Bestandteil der Sicherheit, da sie es Ihnen ermöglichen Geben Sie jedem Benutzer die Möglichkeit, dies sicherzustellen dass die vom Distributionspaket angebotenen Byte-für-Byte-Pakete mit den aus der Quelle persönlich kompilierten übereinstimmen.

Ohne die Möglichkeit, die Identität der kompilierten Binärdatei zu überprüfen, kann der Benutzer der Build-Infrastruktur eines anderen nur blind vertrauen und den Compiler oder die Kompilierungswerkzeuge gefährden, was zu einer Ersetzung versteckter Marker führen kann.

Installation und Ausführung

Im einfachsten Fall reicht es zum Ausführen von "Rebuilderd" aus, das Paket "Rebuilderd" aus dem normalen Repository zu installieren, den GPG-Schlüssel zu importieren, um die Umgebung zu überprüfen und den entsprechenden Systemdienst zu aktivieren. Es ist möglich, ein Netzwerk aus mehreren neu erstellten Instanzen zu implementieren.

Installieren, wir müssen ein Terminal öffnen und darin tippen wir den folgenden Befehl:

sudo pacman -S rebuilderd

Hab's gemacht, Jetzt müssen wir den GPG-Schlüssel importieren, da Rebuilderd muss das Arch Linux-Boot-Image überprüfen. Dazu müssen wir im Terminal den folgenden Befehl eingeben:

gpg --auto-key-locate nodefault,wkd --locate-keys pierre@archlinux.de

Danach Wir müssen unseren Benutzer seitdem zur Rebuilderd-Gruppe hinzufügen Möglicherweise erhalten wir eine Fehlermeldung:

usermod -aG rebuilderd $USER

Jetzt Wir müssen lediglich überprüfen, ob Rebuilderd bereits ausgeführt wird über das System müssen wir dafür nur Folgendes eingeben:

rebuildctl status

Und wenn wir Ergebnisse im Netzwerk teilen möchten, müssen wir Folgendes eingeben:

systemctl enable –now Rebuilderd Rebuilderd-Worker @ Alpha

Jetzt ist es wichtig zu berücksichtigen, dass Rebuilderd erst dann in Aktion tritt, wenn explizit angegeben wird, von wo aus die Systempakete synchronisiert werden. Dazu müssen wir die Datei /etc/rebuilderd-sync.conf ändern, in der die Synchronisationsprofile konfiguriert sind und dass Profilnamen eindeutig sind:

Ein Beispiel hierfür ist das Folgende:

## rebuild all of core
[profile."archlinux-core"] distro = "archlinux"
suite = "core"
architecture = "x86_64"
source = "https://ftp.halifax.rwth-aachen.de/archlinux/core/os/x86_64/core.db"

## rebuild community packages of specific maintainers
#[profile."archlinux-community"] #distro = "archlinux"
#suite = "community"
#architecture = "x86_64"
#source = "https://ftp.halifax.rwth-aachen.de/archlinux/community/os/x86_64/community.db"
#maintainer = ["somebody"]

Nachdem die Datei geändert wurde, müssen Sie lediglich den Timer aktivieren, um das Profil automatisch zu synchronisieren:

systemctl enable --now rebuilderd-sync@archlinux-core.timer

Schließlich Wenn Sie mehr über Rebuilderd erfahren möchtensollten sie wissen, dass es in Rust geschrieben und unter der GPLv3-Lizenz vertrieben wird und Sie alle Details und den Code überprüfen können im folgenden Link.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.