رمزنگاری توی مخازن بسته آرچ و pacman
و خب شاید بدونید هر لحضه ممکنه که اینترنت بسته بشه و ما مجبور بشیم در خوشبینانه ترین حالت از مخازنی که توی کشور هست استفاده کنیم
آیا امنیت این مخازن تضمین شده هستش؟
قبل از پاسخ دادن به این سوالات میخوام انواع تایید کلید توی pacman رو بگم
Never (0)
با قرار دادن SigLevel روی این حالت دیگه هیچ تایید یا آزمایشی برای کلید ها انجام نمیشه و بسته ها بدون چک شدن و مقایسه کلید نصب میشن ( بسیار خطرناکه اگه نمیدونید دارید چیکار میکنید)
Optional (1)
برای امضا چک میکنه ولی اگه وجود هم نداشته باشه بازهم اجازه نصب میده.
Required (2)
روی این حالت وجود امضا لازمه و اگه وجود نداشته باشه، پک من از نصب اون بسته خودداری میکنه و به شما ارور میده.
TrustAll (3)
همه پکیج هارو امضا شده در نظر میگیره و دیگه دنبال کلید نمیگرده، رسما با Never تفاوتی نداره.
اگه اطلاعات بیشتر خواستید ویکی ارچ هست:
https://wiki.archlinux.org/title/Pacman/Package_signing
خب حالا که یک سری توضیح دادم برگردیم سر موضوع اصلیمون.
آیا مخازن داخلی امن هستن؟
تیم آرچ همه بسته هارو امضا میکنه و کلید های عمومیشون رو توی archlinux-keyring میزارن.
پکمن با استفاده از این بسته تشخیص میده که آیا بسته ای که شما نصب کردی امضا شده یا نه؟
اگه بسته مورد دار باشه و امضاش مشکل داشته باشه شما ارور میگیری از طرف پک من که بسته رو نصب نمیکنه.
آیا میشه این بسته رو دستکاری کرد؟
نه،شما اگه این بسته رو باز کنی و بخوای دوباره repackage بکنی اون رو ، کاراییش رو از دست میده.
همه مخازن داخلی امن هستن؟
مخازنی که بسته های رسمی رو داشته باشن مشکلی ندارن چون با کلید های تیم ارچ امضا شدن ولی مخازن شخص ثالث خیر.
لطفا از مخازن شخص ثالث تا جایی که میتونید دوری کنید.
درمورد اوبونتو و دبیان بیس ها چطور؟ و یا فدورا؟
فدورا اجازه ساخت مخزن توی ایران رو به صورت رسمی نمیده و اکثر مخازنی که توی ایران هم هستن غیررسمی هستن.
و نصبشون هم به این صورته که میان درکنار مخازن اصلی شما قرار میگیرن و زمانی که شما fastest mirror رو روشن کرده باشی استفاده میشن. dnf هم ساختارش توی این زمینه شبیه به pacman هست و 4 تا policy level داره.
درمورد اوبونتو و دبیان
پکیج منیجر apt هم کنترل رمزنگاری داره به صورت پیشفرض.
ولی زمانی که شما توی اوبونتو ppa اضافه میکنی کلید هاش به صورت اتومات وارد میشن.
توی اوبونتو و دبیان به نظرم تا میتونید سراغ مخازن شخص ثالث نرید اگه نمیدونید مال چیه ( از سایت ها رندوم مخزن اد نکنید)
و در انتها تا زمانی که کاربر به نوع رمزنگاری دست نزنه و یا مخزنی رو اضافه نکنه که ازش چیزی نمیدونه یک امنیت نسبی روی توزیع خودش داره.