Debian セキュリティマニュアル
第 7 章 - Debian におけるパッケージへの署名

この章は「あなたの Debian GNU/Linyx システムを安全にアップグレード/更新する 方法」と名づけることもできます。これは独自の章にするに値します。主は理由は これが他のどの章にもあてはまらないからです。

現時点 (2001 年 12 月) では Debian ディストリビューションには署名された パッケージがありませんし、woody リリース (3.0) にもこの機能を統合する予定は ありません。きっと次のリリースには署名されたパッケージへの解決策が あるでしょう。

7.1 パッケージの署名チェックについての提案中のしくみ

現在の (実装されていない) apt を使ったパッケージの署名チェックのしくみは:

• Release ファイルは Packages.gz (パッケージの md5sum を含む) の md5sum を含んでいて、署名されます。この署名は信用されているソースのひとつです。

• 署名されている Release ファイルは「apt-get update」でダウンロードされ Packages.gz とともにハードディスクに保存されます。

• パッケージがインストールされるときには、まずダウンロードされ、そして md5sum が生成されます。

• 署名された Release ファイルが (署名が正しいか) 調べられ、apt は それから Packages.gz ファイルの md5sum を取りだします。Packages.gz の チェックサムが生成され、(もし正しければ) ダウンロードされたパッケージの md5sum がそこから取りだされます。

• ダウンロードされたパッケージの md5sum が Packages.gz にあるものと 等しければパッケージがインストールされ、そうでなければ管理者に警告が出され パッケージはキャッシュに放置されます (よって管理者はそれをインストールするか どうか決めることができます)。パッケージが Packages.gz になく、 チェックされたパッケージだけをインストールするように管理者が設定していたら やはりインストールされません。

MD5 の鎖をたどることによって apt はパッケージが特定のリリースに 由来するものかどうか検証することができます。これは各パッケージにひとつずつ 署名するのより柔軟ではないですが、このしくみに組みあわせることができます (以下をごらんください)。

パッケージへの署名は Debian で長い間議論されてきました。くわしくは以下を ごらんください: http://www.debian.org/News/weekly/2001/8/ と http://www.debian.org/News/weekly/2000/11/ です。

7.2 ほかのパッケージごとの署名のしくみ

パッケージのそれぞれに署名するしくみを追加すると残っている Packages ファイルで もはや言及されていないパッケージを調べることが可能になります。また、 Packages が存在しない第三者のパッケージを Debian で使うことも可能ですが、 これはデフォルトのしくみではないでしょう。

このパッケージへの署名のしくみは debsig-verify と debsigs を使うことによって実装されます。この 2 個の パッケージは .deb 自体にうめこまれた署名をしたり検証したりすることができます。 Debian にはすでにこれを行う能力があります。しかしポリシーや道具の実装は (リリース周期をおくらせないようにするため) woody リリースのあとにしか はじまらないでしょう。

注意: 現時点では /etc/dpkg/dpkg.cfg は「no-debsig」が デフォルトになっています。

7.3 パッケージリリースを調べる

このセキュリティチェックをいま追加したいならば、Anthony Thown さんによっ 提供された以下のスクリプトを使うことができます。 このスクリプトは自動的に新しいセキュリティチェックを行って、自分が ダウンロードしているソフトウェアが Debian が配布しているものと一致しているか 確かめることができます。 これは main アーカイブへアップロードすることによって提供される説明責任なしに Debian の開発者がシステムをハックしたり、ミラーが Debian のパッケージと 似てはいるがそっくり同じではないものをミラーしたり、ミラーが既知のセキュリティ 問題のある時代おくれの unstable を提供したりすることを防ぎます。

このサンプルコードは名前を apt-release-check に変更されています。 以下のように使うべきです:

     # apt-get update
     # apt-release-check
     (...results...)
     # apt-get dist-upgrade

まず必要なのは:

• アーカイブのソフトウェアが Release ファイルに署名するのに使っている鍵、 つまり http://ftp-master.debian.org/ziyi_key_2002.asc を入手し、これを ~/.gnupg/trustedkeys.gpg (これは gpgv がデフォルトで使用します) に追加します。

• 通常の「dists」構造を使わない行を /etc/apt/sources.list から 除くか、スクリプトを変更してそれらの行があってもうまくいくようにします。

• Debian のセキュリティ上の更新には署名された Release ファイルがないこと、 Release ファイルには Sources ファイルの適切なチェックサムが (まだ) ないことを 無視するようにします。

• 適切なソースが適切な鍵によって署名されていることを確かめるようにします。

     #!/bin/bash
     # This script is copyright (c) 2001, Anthony Towns
     #
     # This program is free software; you can redistribute it and/or modify
     # it under the terms of the GNU General Public License as published by
     # the Free Software Foundation; either version 2 of the License, or
     # (at your option) any later version.
     # 
     # This program is distributed in the hope that it will be useful,
     # but WITHOUT ANY WARRANTY; without even the implied warranty of
     # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
     # GNU General Public License for more details.
     
     rm -rf /tmp/apt-release-check
     mkdir /tmp/apt-release-check || exit 1
     cd /tmp/apt-release-check
     
     >OK
     >MISSING
     >NOCHECK
     >BAD
     
     arch=`dpkg --print-installation-architecture`
     
     am_root () {
             [ `id -u` -eq 0 ]
     }
     
     get_md5sumsize () {
             cat "$1" | awk '/^MD5Sum:/,/^SHA1:/' | 
               MYARG="$2" perl -ne '@f = split /\s+/; if ($f[3] eq $ENV{"MYARG"}) { print "$f[1] $f[2]\n"; exit(0); }'
     }
     checkit () {
             local FILE="$1"
             local LOOKUP="$2"
     
             Y="`get_md5sumsize Release "$LOOKUP"`"
             Y="`echo "$Y" | sed 's/^ *//;s/  */ /g'`"
     
             if [ ! -e "/var/lib/apt/lists/$FILE" ]; then
                     if [ "$Y" = "" ]; then
                             # No file, but not needed anyway
                             echo "OK"
                             return
                     fi
                     echo "$FILE" >>MISSING
                     echo "MISSING $Y"
                     return
             fi
             if [ "$Y" = "" ]; then
                     echo "$FILE" >>NOCHECK
                     echo "NOCHECK"
                     return
             fi
             X="`md5sum < /var/lib/apt/lists/$FILE` `wc -c < /var/lib/apt/lists/$FILE`"
             X="`echo "$X" | sed 's/^ *//;s/  */ /g'`"
             if [ "$X" != "$Y" ]; then
                     echo "$FILE" >>BAD
                     echo "BAD"
                     return
             fi
             echo "$FILE" >>OK
             echo "OK"
     }
     
     echo
     echo "Checking sources in /etc/apt/sources.list:"
     echo "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"
     echo
     (echo "You should take care to ensure that the distributions you're downloading"
     echo "are the ones you think you are downloading, and that they are as up to"
     echo "date as you would expect (testing and unstable should be no more than"
     echo "two or three days out of date, stable-updates no more than a few weeks"
     echo "or a month)."
     ) | fmt
     echo
     
     cat /etc/apt/sources.list | 
       sed 's/^ *//' | grep '^[^#]' |
       while read ty url dist comps; do
             if [ "${url%%:*}" = "http" -o "${url%%:*}" = "ftp" ]; then
                     baseurl="${url#*://}"
             else
                     continue
             fi
             echo "Source: ${ty} ${url} ${dist} ${comps}"
             
             rm -f Release Release.gpg
             wget -q -O Release "${url}/dists/${dist}/Release"
     
             if ! grep -q '^' Release; then
                     echo "  * NO TOP-LEVEL Release FILE"
             else
                     origline=`sed -n 's/^Origin: *//p' Release | head -1`
                     lablline=`sed -n 's/^Label: *//p' Release | head -1`
                     suitline=`sed -n 's/^Suite: *//p' Release | head -1`
                     codeline=`sed -n 's/^Codename: *//p' Release | head -1`
                     dateline=`grep "^Date:" Release | head -1`
                     dscrline=`grep "^Description:" Release | head -1`
                     echo "  o Origin: $origline/$lablline"
                     echo "  o Suite: $suitline/$codeline"
                     echo "  o $dateline"
                     echo "  o $dscrline"
     
                     if [ "${dist%%/*}" != "$suitline" -a "${dist%%/*}" != "$codeline" ]; then
                             echo "  * WARNING: asked for $dist, got $suitline/$codeline"
                     fi
     
                     wget -q -O Release.gpg "${url}/dists/${dist}/Release.gpg"
                     sigline="`gpgv --status-fd 3 Release.gpg Release 3>&1 >/dev/null 2>&1 | sed -n "s/^\[GNUPG:\] GOODSIG [0-9A-Fa-f]* //p"`"
                     if [ "$sigline" ]; then
                             echo "  o Signed by: $sigline"
                     else
                             echo "  * NO VALID SIGNATURE"
                             >Release
                     fi
             fi
             okaycomps=""
             for comp in $comps; do
                     if [ "$ty" = "deb" ]; then
                             X=$(checkit "`echo "${baseurl}/dists/${dist}/${comp}/binary-${arch}/Release" | sed 's,//*,_,g'`" "${comp}/binary-${arch}/Release")
                             Y=$(checkit "`echo "${baseurl}/dists/${dist}/${comp}/binary-${arch}/Packages" | sed 's,//*,_,g'`" "${comp}/binary-${arch}/Packages")
                             if [ "$X $Y" = "OK OK" ]; then
                                     okaycomps="$okaycomps $comp"
                             else
                                     echo "  * PROBLEMS WITH $comp ($X, $Y)"
                             fi
                     elif [ "$ty" = "deb-src" ]; then
                             X=$(checkit "`echo "${baseurl}/dists/${dist}/${comp}/source/Release" | sed 's,//*,_,g'`" "${comp}/source/Release")
                             Y=$(checkit "`echo "${baseurl}/dists/${dist}/${comp}/source/Sources" | sed 's,//*,_,g'`" "${comp}/source/Sources")
                             if [ "$X $Y" = "OK OK" ]; then
                                     okaycomps="$okaycomps $comp"
                             else
                                     echo "  * PROBLEMS WITH component $comp ($X, $Y)"
                             fi
                     fi
             done
             [ "$okaycomps" = "" ] || echo "  o Okay:$okaycomps"
             echo
       done
     
     echo "Results"
     echo "~~~~~~~"
     echo
     
     allokay=true
     
     cd /tmp/apt-release-check
     diff <(cat BAD MISSING NOCHECK OK | sort) <(cd /var/lib/apt/lists && find . -typ
     e f -maxdepth 1 | sed 's,^\./,,g' | grep '_' | sort) | sed -n 's/^> //p' >UNVALIDATED
     
     cd /tmp/apt-release-check
     if grep -q ^ UNVALIDATED; then
         allokay=false
         (echo "The following files in /var/lib/apt/lists have not been validated."
         echo "This could turn out to be a harmless indication that this script"
         echo "is buggy or out of date, or it could let trojaned packages get onto"
         echo "your system."
         ) | fmt
         echo
         sed 's/^/    /' < UNVALIDATED
         echo
     fi
     
     if grep -q ^ BAD; then
         allokay=false
         (echo "The contents of the following files in /var/lib/apt/lists does not"
         echo "match what was expected. This may mean these sources are out of date,"
         echo "that the archive is having problems, or that someone is actively"
         echo "using your mirror to distribute trojans."
         if am_root; then 
             echo "The files have been renamed to have the extension .FAILED and"
             echo "will be ignored by apt."
             cat BAD | while read a; do
                 mv /var/lib/apt/lists/$a /var/lib/apt/lists/${a}.FAILED
             done
         fi) | fmt
         echo
         sed 's/^/    /' < BAD
         echo
     fi
     
     if grep -q ^ MISSING; then
         allokay=false
         (echo "The following files from /var/lib/apt/lists were missing. This"
         echo "may cause you to miss out on updates to some vulnerable packages."
         ) | fmt
         echo
         sed 's/^/    /' < MISSING
         echo
     fi
     
     if grep -q ^ NOCHECK; then
         allokay=false
         (echo "The contents of the following files in /var/lib/apt/lists could not"
         echo "be validated due to the lack of a signed Release file, or the lack"
         echo "of an appropriate entry in a signed Release file. This probably"
         echo "means that the maintainers of these sources are slack, but may mean"
         echo "these sources are being actively used to distribute trojans."
         if am_root; then 
             echo "The files have been renamed to have the extension .FAILED and"
             echo "will be ignored by apt."
             cat NOCHECK | while read a; do
                 mv /var/lib/apt/lists/$a /var/lib/apt/lists/${a}.FAILED
             done
         fi) | fmt
         echo
         sed 's/^/    /' < NOCHECK
         echo
     fi
     
     if $allokay; then
         echo 'Everything seems okay!'
         echo
     fi
     
     rm -rf /tmp/apt-release-check

Debian セキュリティマニュアル