O utilitário arch linstrap pacstrap coloca qualquer informação sobre o host no sistema montado

0

Como parte de um protótipo do script de geração de imagem do Arch Linux (que pode ser visto para revisão de código aqui ), eu uso o utilitário normal pacstrap para preencher um sistema de arquivos com uma instalação inicializável e pacotes adicionais.

Que informações sobre o host são usadas para isso / incluídas na nova instalação do sistema de arquivos?

Minha principal preocupação é liberar inadvertidamente segurança ou informações identificáveis quando eu envio ou distribuo uma imagem do sistema de arquivos gerada.

Minha preocupação secundária é que a imagem do sistema de arquivos é de alguma forma adaptada ao meu hardware (além de 64 bits amd / intel) e, portanto, seria incapaz de inicializar ou operar normalmente em outro equipamento.

    
por RidiculousRichard 21.04.2018 / 22:55

1 resposta

0

Com base no exame de uma imagem de teste mínima gerada que usa o pacstrap e da ajuda do pacstrap, pelo menos as informações a seguir parecem ser movidas para o novo sistema:

  • listas de repositórios de pacotes e sua autenticação de identidade.
  • você keyring do pacman (que é uma web de autenticação de estilo de confiança.

Ambos podem pelo menos vazar algumas informações de identificação e o chaveiro pode incluir sua identidade, dependendo da atividade anterior.

Se você tiver um repositório de pacotes privado / organizacional que seja um espelho local para acelerar operações / reduzir o tráfego da Internet ou contenha pacotes "aprovados", a lista espelhada fornece detalhes da rede interna.

Seu chaveiro do pacman pode conter um link para a sua chave pública do GnuPG ou de outra pessoa da sua organização para pacotes exclusivos para você / sua empresa. Permitir o acesso e a análise do seu conjunto de chaves pode permitir que um invasor localize as chaves incomuns como uma provável identificação do originador da imagem.

A maior parte disso provavelmente é importante apenas para organizações que têm uma política de mitigação de ataques (reduza a quantidade de informações desnecessárias, independentemente do risco aparente, como uma medida simples de redução de riscos, pois é difícil prever com precisão o que pode se tornar importante). / p>

A ajuda do pacman fornece uma maneira de não mudar isso:

$ pacstrap -h
usage: pacstrap [options] root [packages...]

  Options:
    -C config      Use an alternate config file for pacman
    -c             Use the package cache on the host, rather than the target
    -G             Avoid copying the host's pacman keyring to the target
    -i             Avoid auto-confirmation of package selections
    -M             Avoid copying the host's mirrorlist to the target

    -h             Print this help message

pacstrap installs packages to the specified new root directory. If no packages
are given, pacstrap defaults to the "base" group.

Portanto, as opções -G e -M impedirão a cópia dessas informações, no entanto, você terá que preenchê-las novamente na nova instalação. Um novo chaveiro pode ser gerado usando:

pacman-key --init && pacman-key --populate archlinux

Uma lista de espelhos 'apropriada' (o que quer que isso signifique para uma dada situação) pode ser preparada e colocada em /etc/pacman.d/mirrorlist

    
por 05.05.2018 / 12:44