Останнім часом було оголошено про запуск “Rebuilderd” який позиціонується як незалежна система перевірки двійкових пакетів що дозволяє організувати перевірку пакетів дистрибутиву шляхом реалізації постійно запущеного процесу збірки, який порівнює завантажувані пакети з пакетами, отриманими в результаті відновлення в локальній системі.
Іншими словами ця система надає послугу, яка контролює стан індексу пакетів і автоматично розпочати відновлення нових пакетів у довідковому середовищі, стан яких синхронізується з налаштуваннями середовища Основний пакет збірки Arch Linux.
При повторній компіляції, враховуються такі нюанси, як точна відповідність залежностей, використання композицій та незмінних версій інструментів побудови, однаковий набір опцій та налаштувань за замовчуванням, а також збереження порядку складання файлів (з використанням тих самих методів сортування).
Параметри процесу побудови виключають компілятор із додавання загальної суперечливої інформації, такої як випадкові значення, посилання на шляхи до файлів та дані про дату та час компіляції.
Про Rebuilderd
В даний час для перевірки пакетів Arch Linux доступна лише експериментальна підтримка з реконструктором, але найближчим часом планує додати підтримку Debian.
В даний час, повторювані збірки передбачені для 84.1% пакетів з основного сховища Arch Linux, він 83.8% із сховища extras та 76.9% з сховища спільноти. Для порівняння, у Debian 10 цей показник становить 94,1%.
Тоді як збірки є важливою частиною безпеки, оскільки вони дозволяють вам це робити надати будь-якому користувачеві можливість забезпечити що байтові пакети, пропоновані дистрибутивним пакетом, відповідають тим, які особисто складаються з джерела.
Не маючи можливості перевірити ідентифікацію скомпільованого двійкового файлу, користувач може лише сліпо довіряти чужій інфраструктурі збірки, ставлячи під загрозу компілятор або інструменти компіляції, де це може призвести до заміни прихованих маркерів.
Встановлення та виконання
У найпростішому випадку для запуску rebuilderd досить встановити пакет rebuilderd із звичайного сховища, імпортувати ключ GPG для перевірки середовища та активації відповідної системної служби. Можна реалізувати мережу з декількох відновлених екземплярів.
Щоб встановити, ми повинні відкрити термінал і в ньому набираємо текст наступну команду:
sudo pacman -S rebuilderd
Зробив це, тепер ми повинні імпортувати ключ GPG, оскільки Rebuilderd повинен перевірити образ завантаження Arch Linux, для цього в терміналі нам доведеться ввести таку команду:
gpg --auto-key-locate nodefault,wkd --locate-keys pierre@archlinux.de
Після цього ми повинні додати нашого користувача до групи Rebuilderd, оскільки ми можемо отримати повідомлення про помилку:
usermod -aG rebuilderd $USER
Зараз ми просто повинні перевірити, що Rebuilderd вже запущений про систему, для цього нам просто потрібно набрати:
rebuildctl status
І якщо ми хочемо поділитися результатами в мережі, нам слід набрати:
systemctl enable –now rebuilderd rebuilderd-worker @ alpha
Тепер важливо взяти до уваги, що Rebuilderd не почне діяти, поки не буде чітко вказано, звідки синхронізуються системні пакети, для цього нам доведеться змінити файл /etc/rebuilderd-sync.conf, де налаштовані профілі синхронізації та що імена профілів унікальні:
Прикладом цього є наступне:
## rebuild all of core
[profile."archlinux-core"]
distro = "archlinux"
suite = "core"
architecture = "x86_64"
source = "https://ftp.halifax.rwth-aachen.de/archlinux/core/os/x86_64/core.db"
## rebuild community packages of specific maintainers
#[profile."archlinux-community"]
#distro = "archlinux"
#suite = "community"
#architecture = "x86_64"
#source = "https://ftp.halifax.rwth-aachen.de/archlinux/community/os/x86_64/community.db"
#maintainer = ["somebody"]
Після того, як файл було змінено, вам просто потрібно ввімкнути таймер для автоматичної синхронізації профілю:
systemctl enable --now rebuilderd-sync@archlinux-core.timer
В кінці кінців якщо ви хочете дізнатись більше про Rebuilderd, вони повинні знати, що він написаний на Rust і поширюється під ліцензією GPLv3, і ви можете перевірити всі його деталі та код У наступному посиланні.