Automagiczny builder

Marek Guevara Baun marek.guevara w atm.com.pl
Pon, 18 Lis 2002, 14:20:08 CET 

undefine w aramin.one.pl wrote:
>
> podczas budowania pakietu wykonują się normalne polecenia.
> co przeszkodzi np w uruchomieniu jakiegoś backdora z speca?
> pozwalającego na wejscie na takie konto?

Taki automatyczny builder mógłby być z założena unsecure.

Dla jąder 2.4 istnieje patch User Mode Linux pozwalający
na tworzenie systemów wirtualnych - nic (???) nie stoi na
przeszkodzie by automatyczny builder:

1. startował z pliku ze spreparowanego builderowego root
    filesystemu i jądra 2.4/2.5 UML,
2. pobierał z serwera paczkę do obrobienia
3. sprawdzał jej zależności i dociągał opcjonalnie niezbędne
    updaty (które np. przygotował przed chwilą inny builder)
4. budował pakiet,
5. wynikowe rpm/srpm lub logi o niepowodzeniu wysyłał na serwer
6. kończył działanie (znika)

Konfiguracja takiego buildera-serwera mogła by wykluczać
możliwość nawiązywania połączeń sieciowych innych niż
ftp/http z serwerem-matką lub nawet blokować całkowicie
jakiekolwiek połączenia sieciowe (pliki ze źródłami, spece,
updaty, logi i pakiety wynikowe mogły by być brane/zapisywane
w tym wypadku na wspóldzielony zasób dyskowy itp)

 > teraz też jest to mozliwe oczywiście, ale jak ktoś te spece/patche
 > przegląda takie zagrożenie jest zminimalizowane...

W najgorszym razie podrzucony podczas rozwoju koń trojański
zawładnąć  może bezsieciowym serwerem, którego żywot jest
ograniczony tylko do czasu budowania pakietu oraz zarazić
(via wynikowy rpm) inne pakiety w kolejce budowania:

- podstawowe środowisko buildera nie powinno być zarażone
   zawsze będzie ono brane z zaufanego źródła.
- pakiety budowane równolegle, nie zależące od zarażonego
   pakietu będą bezpieczne
- pakiety, które wymagają do zbudowania zarażonego pakietu
   w trakcie tworzenia dla nich środowiska buildera zostaną
   /mogą zostać zarażone.

Co jeszcze - pakiety automatycznie budowane przez "niezaufaną"
osobę wcale nie muszą w tym wypadku trafiać do ogólnej puli
pakietów dystrybucji - nawet jeśli jestem w stanie wymyśleć
bardzo zaawansowanego backdoora, puścić go na automatycznego
buildera i uzyskać "skażony" pakiet rpm, to do czasu jak
nie przekonam maintanera kolejnego wydania do nadania danej
wersji speca odpowiedniej etykietki zagrożenie będzie
porównywalne z udostępnieniem "skażonych" pakietów rpm na
własnym ftpie i puszczenia newsa na pld-users-* ;-)

Pozdrawiam,
Marek

-- 
Marek Guevara Braun

Więcej informacji o liście dyskusyjnej pld-devel-pl