Rebuilderd - Un sistem independent de verificare a pachetelor binare pentru Arch Linux

Reconstruit

recent a fost anunțată lansarea „Rebuilderd” care este poziționat ca un sistem de verificare independent pentru pachetele binare permite organizarea verificării pachetelor unei distribuții prin implementarea unui proces de construire care rulează continuu, care compară pachetele descărcabile cu pachetele primite ca urmare a reconstruirii pe sistemul local.

Cu alte cuvinte, acest sistem oferă un serviciu care monitorizează starea indexului pachetelor și începe automat să reconstruiască pachete noi în mediul de referință, a cărei stare este sincronizată cu setările de mediu Arch Linux pachetul de construcție principal.

Când compilați din nou, sunt luate în considerare nuanțe precum corespondența exactă a dependențelor, utilizarea compozițiilor și a versiunilor neschimbate ale instrumentelor de construcție, setul identic de opțiuni și setări implicite și păstrarea ordinii de asamblare a fișierelor (folosind aceleași metode de sortare).

Setările procesului de compilare exclud compilatorul de la adăugarea de informații generale inconsistente, cum ar fi valori aleatorii, legături către căile de fișiere și date despre data și ora compilării.

Despre Rebuilderd

În prezent, este disponibil doar suport experimental pentru verificarea pachetelor Arch Linux cu rebuilderd, dar intenționează să adauge asistență Debian în curând.

În prezent, versiunile repetabile sunt furnizate pentru 84.1% din pachete din depozitul principal Arch Linux, el 83.8% din depozitul extras și 76.9% din depozitul comunității. Pentru comparație, în Debian 10 această cifră este de 94,1%.

În timp ce construcțiile sunt o parte importantă a securității, deoarece vă permit acest lucru oferiți oricărui utilizator posibilitatea de a se asigura că pachetele octet pentru octet oferite de pachetul de distribuție se potrivesc cu cele compilate personal din sursă.

Fără capacitatea de a verifica identitatea binarului compilat, utilizatorul poate avea încredere orbește doar în infrastructura de construire a altcuiva, compromitând compilatorul sau instrumentele de compilare, unde poate duce la substituirea markerului ascuns.

Instalare și execuție

În cel mai simplu caz, pentru a rula rebuilderd este suficient să instalați pachetul rebuilderd din depozitul normal, să importați cheia GPG pentru a verifica mediul și pentru a activa serviciul de sistem corespunzător. Este posibil să implementați o rețea de instanțe multiple reconstruite.

A instala, trebuie să deschidem un terminal și în el să tastăm următoarea comandă:

sudo pacman -S rebuilderd

Am făcut asta, acum trebuie să importăm cheia GPG, deoarece Rebuilderd trebuie să verifice imaginea de boot Arch Linux, pentru aceasta în terminal va trebui să tastăm următoarea comandă:

gpg --auto-key-locate nodefault,wkd --locate-keys pierre@archlinux.de

Dupa asta trebuie să ne adăugăm utilizatorul la grupul Rebuilderd, din moment ce este posibil să primim o eroare:

usermod -aG rebuilderd $USER

Acum pur și simplu trebuie să verificăm dacă Rebuilderd rulează deja despre sistem, pentru aceasta, trebuie doar să tastăm:

rebuildctl status

Și dacă vrem să împărtășim rezultatele în rețea, trebuie să tastăm:

systemctl enable –acum rebuilderd rebuilderd-worker @ alpha

Acum este important să luăm în considerare faptul că Rebuilderd nu va intra în acțiune până când nu se specifică explicit de unde sunt sincronizate pachetele de sistem, pentru aceasta trebuie să modificăm fișierul /etc/rebuilderd-sync.conf unde sunt configurate profilurile de sincronizare. și că numele profilurilor sunt unice:

Un exemplu în acest sens este următorul:

## rebuild all of core
[profile."archlinux-core"] distro = "archlinux"
suite = "core"
architecture = "x86_64"
source = "https://ftp.halifax.rwth-aachen.de/archlinux/core/os/x86_64/core.db"


## rebuild community packages of specific maintainers
#[profile."archlinux-community"] #distro = "archlinux"
#suite = "community"
#architecture = "x86_64"
#source = "https://ftp.halifax.rwth-aachen.de/archlinux/community/os/x86_64/community.db"
#maintainer = ["somebody"]

Odată ce fișierul a fost modificat, trebuie pur și simplu să activați temporizatorul pentru a sincroniza automat profilul:

systemctl enable --now rebuilderd-sync@archlinux-core.timer

În cele din urmă dacă doriți să aflați mai multe despre Rebuilderd, ar trebui să știe că este scris în Rust și este distribuit sub licența GPLv3 și puteți verifica toate detaliile acestuia și codul În următorul link.


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.