Gentoo Foundation
En gruppe medieutstyrte Gentoo Developers var vertskap for en AMA-økt på Reddit i dag, og de slapp unna å stille vanskelige spørsmål. Mange av disse var relatert til sikkerhetsproblemer, syntes det skal bemerkes at Gentoo Linux allerede har et rykte for å være foran spillet når det gjelder sikkerhetsoppdateringer.
Distribusjonen har en ukentlig rullende utgivelsesplan som sikrer at et overveldende flertall av brukerne bruker oppdaterte pakker til enhver tid. Et spørsmål som ble tatt opp var hva som kunne skje hvis kildekoden til en populær pakke inneholdt en slags trojan. Langvarige Linux-brukere husker kanskje at kildekoden til UnrealIRCd-serveren inneholdt en bakdør på et tidspunkt, selv om utviklerne korrigerte problemet så snart de fikk tak i det.
Siden Gentoo kompilerer kildekoden lokalt i henhold til brukerens preferanser, vil den normalt ikke bli kompromittert som et resultat av en sprukket binær. Det kan imidlertid være et problem hvis kildepakker på en eller annen måte ble kompromittert.
I følge Gentoos sikkerhetseksperter er det bare noen få mulige måter dette kan skje på. Hvis oppstrømsregisteret for noe kildekode inneholdt en trojan, ville det være vanskelig å fange nedstrøms. Denne typen Linux-sikkerhetsproblemer vil påvirke mange distribusjoner og ikke bare Gentoo.
Hvis en tar-fil ble byttet et sted nede på linjen, ville det ikke ha noe å si om oppstrøms kilden var ren. Å bruke OpenPGP til å signere utgivelsen før den blir lagt til ebuild-depotet på Gentoo sammen med inspeksjon av kontrollsummer, bidrar imidlertid til å sikre at dette ikke burde være et problem i de fleste situasjoner.
AMA-kommentarene bidro også til å avklare noen andre metoder som ble brukt for å forhindre at denne typen ting skjedde. Når push eller commits legges til et depot, blir de signert av utviklerne. Ved å implementere et master rsync iscenesettingsområde for å tykne forplikter opp, og legg dem til et MetaManifest som også er signert, nøkkelrotasjon har blitt ganske enkelt for utviklerne.
En fornyet vekt på Linux-sikkerhetsspørsmål er tilstede i nesten alle større distroer, men det fremgår absolutt av disse kommentarene at Gentoo har gått en ekstra mil for å sikre sikkerheten ved implementeringen.
Merker Linux-sikkerhet
