Gentoon säätiö
Ryhmä sosiaalisen median varustettuja Gentoo-kehittäjiä isännöi AMD-istunnon Redditissä tänään, eivätkä he kaventuneet vaikeiden kysymysten esittämisestä. Monet näistä liittyivät tietoturvakysymyksiin, ja mielestäni on huomattava, että Gentoo Linuxilla on jo maine olla edellä pelin tietoturvapäivitysten suhteen.
Jakelu sisältää viikoittaisen liikkuvan julkaisun aikataulun, joka varmistaa, että ylivoimainen enemmistö käyttäjistä käyttää jatkuvasti ajantasaisia paketteja. Yksi esille nostettu asia oli se, mitä voisi tapahtua, jos suositun paketin lähdekoodissa olisi jonkinlainen troijalainen. Pitkät Linux-käyttäjät saattavat muistaa, että UnrealIRCd-palvelimen lähdekoodissa oli takaportti yhdessä vaiheessa, vaikka kehittäjät korjasivat ongelman heti saatuaan sen kiinni.
Koska Gentoo kääntää lähdekoodin paikallisesti käyttäjän mieltymysten mukaan, se ei yleensä vaarannu murtuneen binaarin seurauksena. Ongelma voi kuitenkin olla, jos lähdekoodipaketit ovat jotenkin vaarantuneet.
Gentoon turvallisuusasiantuntijoiden mukaan tähän on vain muutama mahdollinen tapa. Jos jonkin lähdekoodin alkupään tietovarasto sisälsi troijalaisen, niin sitä olisi vaikea saada kiinni alavirtaan. Tällainen Linux-tietoturvaongelma vaikuttaisi moniin jakeluihin eikä pelkästään Gentoon.
Jos tervatiedosto vaihdettiin jonnekin riville, ei ole väliä, onko ylävirran lähde puhdas. OpenPGP: n käyttäminen julkaisun allekirjoittamiseen, ennen kuin se lisätään Gentoon ebuild-arkistoon, sekä tarkistussummat auttavat varmistamaan, että tämän ei pitäisi olla ongelma useimmissa tilanteissa.
AMA: n kommentit auttoivat myös selventämään joitain muita menetelmiä, joita käytetään estämään tällaisten asioiden tapahtuminen. Kun työntöjä tai sitoumuksia lisätään arkistoon, kehittäjät allekirjoittavat ne. Toteuttamalla pääsynkronoinnin pysäytysalue sitoumusten lisäämiseksi ja lisäämällä ne sitten myös allekirjoitettuun MetaManifest-tiedostoon, avainkierros on kehittäjille tullut melko yksinkertaiseksi.
Uudelleen korostettu Linux-tietoturvakysymyksiä esiintyy melkein kaikissa suurimmissa distroissa, mutta näistä kommenteista käy varmasti ilmi, että Gentoo on mennyt ylimääräisen askeleen varmistaakseen niiden toteutuksen turvallisuuden.
Tunnisteet Linux-tietoturva
