Russian Fedora

cообщество русскоязычных участников
международного проекта Fedora

Ситуация с безопасностью скачивания дистрибутивов и обновлений к ним

Это архивная статья

Участник коммьюнити Debian, Philipp Emanuel Weidmann, решил разобраться, как обстоит дело с безопасностью при скачивании популярных дистрибутивов? Он выделил несколько ключевых моментов:
  • Страница со ссылками на скачивание должна быть доступна по HTTPS
  • Еще лучше, чтобы она была доступна только по HTTPS и желательно с HSTS
  • Файлы (пакеты, ISO-образы, и т.п.) должны скачиваться по HTTPS
  • На странице со ссылками должна присутствовать контрольная сумма скачиваемых образов
  • На странице со ссылками должна присутствовать GPG-подпись проекта
  • Должна присутствовать инструкция по проверке скачанного

Результаты кого-то сильно удивят, но, конечно, не нас. Мы-то знаем, что в плане обеспечения безопасности пользователя Fedora всегда последовательно реализует лучшие из имеющихся схемы - как и внутри системы (контрольные суммы у пакетов, SELinux, SecureBoot/RestrictedBoot), так и снаружи. Приведем таблицу, которую составил Philipp на 17 июля 2016 года:

System Message: ERROR/3 (<string>, line 27)

Malformed table.

+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| Distro                                                                    | HTTPS supported   | HTTPS forced   | HTTPS download   | Checksum                 | Signature                | Instructions             |
+===========================================================================+===================+================+==================+==========================+==========================+==========================+
| `Mint <https://linuxmint.com/download.php>`__                             | Yes               | Yes            | No\ :sup:`1`     | Externally hosted        | Yes                      | Difficult\ :sup:`2`      |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `Debian <https://www.debian.org/distrib/netinst>`__                       | Yes               | Yes            | No               | Hard to find\ :sup:`3`   | Hard to find\ :sup:`3`   | Difficult\ :sup:`3`      |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `Ubuntu <https://www.ubuntu.com/download/desktop>`__                       | No                | No             | No               | HTTP only                | Yes                      | Very clear               |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `openSUSE <https://en.opensuse.org/openSUSE:Tumbleweed_installation>`__   | Yes               | Yes            | No               | HTTP only                | No                       | None                     |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `Manjaro <https://manjaro.github.io/download/>`__                         | Yes               | No             | No               | Yes (SHA-1)              | Yes                      | Clear                    |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `Fedora <https://getfedora.org/en/workstation/download/>`__               | Yes               | Yes            | Yes              | Yes                      | Yes                      | Clear\ :sup:`4`          |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `Zorin <http://zorinos.com/download9.html>`__                             | No                | No             | No\ :sup:`5`     | HTTP only                | No                       | None                     |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `CentOS <https://www.centos.org/download/>`__                             | Yes               | Yes            | No               | Hard to find\ :sup:`6`   | No                       | Hard to find\ :sup:`6`   |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `elementary <https://elementary.io/>`__                                   | Yes               | No             | Yes              | Yes                      | No                       | Clear                    |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+
| `Arch <https://www.archlinux.org/download/>`__                            | Yes               | Yes            | No               | Yes (SHA-1)              | Yes                      | None                     |
+---------------------------------------------------------------------------+-------------------+----------------+------------------+--------------------------+--------------------------+--------------------------+

1 Some download mirrors support HTTPS, but are linked to via HTTP only.
2 The (externally hosted) signature and checksum files are not linked to directly. The user has to navigate through multiple subdirectories to find them.
3"Official releases of Debian CDs come with signed checksum files; look for them alongside the images in the iso-cd, jigdo-dvd, iso-hybrid etc. directories." No directory or direct links are provided. Verification instructions are not linked to from the download page.
4 Not linked to directly from the download page.
5 Additionally, Zorin OS downloads are funneled through intransparent "bit.ly" links.
6 No instructions on the download page. A web search brings up a page with obscure references to a "md5sum.txt" that "can be found in the same directory as the iso image".

Ну что тут скажешь, некоторые дистрибутивы очень удивили своим подходом к безопасности пользователей. У нас-то тоже не все бывает ладно, например, проверку подписей пакетов, скачиваемый во время установки в Anaconda реализовали лишь в Fedora 19, но чтобы вообще полоска результатов была красной или почти красной, то это не к нам, а к другим удобным и популярным среди начинающих дистрибутивам.
Выбирайте дистрибутив не по тому, что вам советовали дуалбутчики в школе или институте, и насколько легко в нем ставится проприетарное ПО, а по тому, как его разработчики подходят к решению базовых вопросов.

Комментарии