GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Comment récupérer en toute sécurité le code source du noyau Ubuntu ?

Selon BuildYourOwnKernel, il existe deux façons d'obtenir le code source :

apt-get

  • Apt-get est-il signé par l'équipe Ubuntu ?
  • Je veux dire, mon ordinateur vérifiera-t-il la signature lorsque je la téléchargerai ?
  • Existe-t-il un moyen de vérifier moi-même la signature avec une autre méthode ?

git

Le code source de Git n'est pas signé.

  • Y a-t-il un endroit où je peux trouver la signature ?
  • Je peux voir que les balises git sont signées, mais je ne peux pas obtenir les clés publiques et je ne peux pas non plus vérifier que ces clés publiques sont sécurisées (sont-elles signées par l'équipe Ubuntu ?)

Réponse acceptée :

apt-get est-il signé par l'équipe Ubuntu ?

Eh bien, le fichier dsc est signé et contient des hachages des fichiers à télécharger :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Ainsi, un fichier dsc signé avec les sommes de contrôle des archives tar qu'il contient ~ se rapproche le plus du code source signé.

Je veux dire, mon ordinateur vérifiera-t-il la signature lorsque je le téléchargerai ?

Ça essaie. apt-get tente de le vérifier :

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Mais dans mon cas, cela n'a pas réussi car je n'avais pas encore importé la clé correspondante. Les fichiers dsc sont généralement signés par le développeur qui les a créés, et AFAICT il n'y a pas d'endroit unique où toutes ces clés sont répertoriées. Les différents développeurs Ubuntu sont membres de divers groupes sur Launchpad, et les profils Launchpad des développeurs doivent répertorier leurs clés GPG. Par exemple, consultez l'équipe Ubuntu Kernel Uploaders ou l'équipe combinée Ubuntu Developers (qui à son tour comprend de nombreuses autres équipes).

Connexe :Comment utiliser "chmod" sur une partition NTFS (ou FAT32) ?

Dans ce cas précis, le signataire est Stefan Bader, employé de Canonical. Vous pouvez récupérer la clé à partir du serveur de clés Ubuntu, mais vous voudrez peut-être le faire en utilisant HKPS.

Existe-t-il un moyen de vérifier moi-même la signature avec une autre
méthode ?

Le dscverify l'outil peut être utilisé pour cela.

Je peux voir que les balises git sont signées, mais je ne peux pas obtenir les clés publiques
et je ne peux pas non plus vérifier que ces clés publiques sont sécurisées (sont-elles signées
par l'équipe Ubuntu ?)

Eh bien, en passant par les listes de serveurs de clés de Stefan Bader ou Andy Whitcroft (qui semble avoir signé cette balise, par exemple), oui.


Ubuntu

  1. Comment mettre à jour le noyau Linux dans Ubuntu

  2. Comment supprimer les anciens noyaux sur Ubuntu

  3. Comment installer Visual Studio Code sur Ubuntu 18.04

  4. Sortie du noyau Linux 5.13 ! Comment installer dans Ubuntu 21.04

  5. Comment installer le noyau Linux 4.3 sur Ubuntu et LinuxMint

Comment installer le dernier noyau Linux 4.8 sur Ubuntu 16.04

Comment installer le noyau Linux 4.7.2 sur Ubuntu 16.04 LTS

Comment installer facilement le noyau Linux 4.10 sur Ubuntu 16.04, Ubuntu 16.10

Comment installer des blocs de code sur Ubuntu 16.04, Ubuntu 18.04, 19.04

Comment obtenir le noyau Linux 5.0 dans Ubuntu 18.04 LTS

Comment installer le noyau Liquorix sur Ubuntu 20.04