Product SiteDocumentation Site

6.5. Kiểm tra Tính xác thực Gói

Vấn đề an ninh rất quan trọng đối với các quản trị viên của Falcot Corp. Theo đó, họ cần đảm bảo rằng họ chỉ cài đặt các gói được bảo đảm đến từ Debian mà không bị giả mạo trên đường đi. Một máy tính cracker có thể cố gắng thêm mã nguy hiểm vào một gói hợp pháp khác. Một gói như vậy, nếu được cài đặt, có thể làm bất cứ điều gì mà nó được thiết kế để làm, bao gồm cả việc tiết lộ mật khẩu hoặc thông tin bí mật. Để phá vỡ nguy cơ này, Debian cung cấp một con dấu chứng minh giả mạo để đảm bảo - khi cài đặt - một gói thực sự đến từ người quản lý chính thức và không bị một bên thứ ba sửa đổi.
Con dấu này hoạt động với một chuỗi các bảng mã mật mã và một chữ ký. Tệp đã ký là tệp Release do các Mirror của Debian cung cấp. Nó chứa một danh sách các tập tin Packages (bao gồm cả các dạng nén của chúng, Packages.gzPackages.xz, và các phiên bản gia tăng), cùng với MD5, SHA1 và SHA256 băm của chúng, đảm bảo rằng các tập tin này không bị giả mạo. Các tệp tin Packages này chứa một danh sách các gói Debian có sẵn trên gương, cùng với các tệp băm của chúng, đảm bảo rằng lần lượt các nội dung của các gói cũng không bị thay đổi.
APT needs a set of trusted GnuPG public keys to verify signatures in the Release.gpg files available on the mirrors. It gets them from files in /etc/apt/trusted.gpg.d/ and from the /etc/apt/trusted.gpg keyring (managed by the apt-key command). The official Debian keys are provided and kept up-to-date by the debian-archive-keyring package which puts them in /etc/apt/trusted.gpg.d/. Note however that the first installation of this particular package requires caution: even if the package is signed like any other, the signature cannot be verified externally. Cautious administrators should therefore check the fingerprints of imported keys before trusting them to install new packages: 
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
      126C 0D24 BD8A 2942 CC7D  F8AC 7638 D044 2B90 D010
uid           [ unknown] Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub   rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
      D211 6914 1CEC D440 F2EB  8DDA 9D6D 8F6B C857 C906
uid           [ unknown] Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub   rsa4096 2013-08-17 [SC] [expires: 2021-08-15]
      75DD C3C4 A499 F1A1 8CB5  F3C8 CBF8 D6FD 518E 17E1
uid           [ unknown] Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-stretch-automatic.gpg
-----------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
      E1CF 20DD FFE4 B89E 8026  58F1 E0B1 1894 F66A EC98
uid           [ unknown] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-security-automatic.gpg
--------------------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
      6ED6 F5CB 5FA6 FB2F 460A  E88E EDA0 D238 8AE2 2BA9
uid           [ unknown] Debian Security Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-stable.gpg
--------------------------------------------------------
pub   rsa4096 2017-05-20 [SC] [expires: 2025-05-18]
      067E 3C45 6BAE 240A CEE8  8F6F EF0F 382A 1A7B 6500
uid           [ unknown] Debian Stable Release Key (9/stretch) <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2012-04-27 [SC] [expires: 2020-04-25]
      A1BD 8E9D 78F7 FE5C 3E65  D8AF 8B48 AD62 4692 5553
uid           [ unknown] Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub   rsa4096 2012-05-08 [SC] [expires: 2019-05-07]
      ED6D 6527 1AAC F0FF 15D1  2303 6FB2 A1C2 65FF B764
uid           [ unknown] Wheezy Stable Release Key <debian-release@lists.debian.org>

TRONG THỰC HÀNH Thêm khoá tin cậy

Khi mã nguồn gói của bên thứ ba được thêm vào tệp tin sources.list, APT cần được tin cậy để tin tưởng vào khoá xác thực GPG tương ứng (nếu không sẽ tiếp tục nhắc nhở rằng nó không thể đảm bảo tính xác thực của các gói đến từ kho đó) . Bước đầu tiên là cần có để có được khoá công khai. Thông thường thì khoá sẽ được cung cấp dưới dạng một tệp văn bản nhỏ, chúng ta sẽ gọi là key.asc trong các ví dụ sau.
To add the key to the trusted keyring, the administrator can just put it in a *.asc file in /etc/apt/trusted.gpg.d/. This is supported since Debian Stretch. With older releases, you had to run apt-key add < key.asc.
Đối với những người muốn một ứng dụng chuyên dụng và chi tiết hơn về các khóa tin cậy, bạn có thể sử dụng gui-apt-key (trong cùng một gói), một giao diện đồ họa nhỏ quản lý khóa tin cậy.
Một khi các khóa thích hợp nằm trong chùm khóa, APT sẽ kiểm tra các chữ ký trước bất kỳ hoạt động nguy hiểm nào để các kết thúc phía trước hiển thị một cảnh báo nếu được yêu cầu cài đặt một gói mà tính xác thực không thể xác định được.