Много се чудих дали на това мястото му е тук или в секцията за живота и глупостите дето служи за тролване по принцип.
За да не обяснявам аз за какво иде реч, тук е описана една странност свързана с новата федора 12:
https://bugzilla.redhat.com/show_bug.cgi?id=534047Всъщност, това повдига доста интересни въпроси. Първо, според мен това е едно отместване на фокуса от секюрити гледна точка от традиционните общоприети linux механизми (само superuser-а да може да инсталира нов софтуер, там изпълним код и библиотеки) към криптографски механизми.
Идеята е че само подписан с частния ключ на федорците софтуер може да бъде инсталиран от не-руутски потребители. Сега аз не съм някакво крипто-гуру, но според мен вероятността някой да изработи RPM пакет и да налучка някаква стойност, която съвпада с SHA1 сумата от пакета криптирана с частния ключ на федорците, е повече от нищожна. За да получиш частния им ключ от публичния трябва да факторизираш едно непосилно голямо число, което е изчислително непосилна задача. Имам предвид с глупости като msieve на commodity хардуер на практика е невъзможно да факторизираш 1024-битов RSA модул, федорците бидейки параноици, сигурно ползват по-голям RSA ключ. Абе на практика, не би трябвало да можеш да инсталираш някакъв твой си зъл backdoor.
От друга страна обаче можеш да инсталираш *федорски* подписани пакети. Дали някой от тях не би могъл да бъде някакъв мрежов демон, чиято default-на конфигурация не улеснява придобиването на root-ски права по *лесния* начин? Това е интересен въпрос.
И по принцип дали одобрявате такава идея? Честно казано съм доста раздвоен. От сисадминска гледна точка ми се вижда абсолютна идиотщина цялата идея. От друга страна имам поне някаква идея от public-key криптография и знам, че би било относително невъзможно да инсталираш нещо извън официалните подписани федорски репо-та.
Забавна работа.