Gentoo Fond
Rühm sotsiaalse meediaga varustatud Gentoo arendajaid korraldas täna Redditis AMA seansi ja nad ei hoidunud raskete küsimuste esitamisest. Paljud neist olid seotud turbeprobleemidega, pidades vajalikuks märkida, et Gentoo Linuxil on turvauuenduste osas juba enne mainet maine.
Levitamisel on iganädalane jooksev väljaandmise ajakava, mis tagab, et valdav osa kasutajatest kasutab kogu aeg ajakohaseid pakette. Üks tõstatatud küsimus oli see, mis võib juhtuda, kui populaarse paketi lähtekood sisaldaks mingisugust troojalast. Kauaaegsed Linuxi kasutajad võivad meenutada, et UnrealIRCd serveri lähtekood sisaldas ühel hetkel tagaukse, kuigi arendajad parandasid probleemi kohe, kui selle tabasid.
Kuna Gentoo kompileerib lähtekoodi kohapeal vastavalt kasutaja eelistustele, ei kahjustaks see tavaliselt pragunenud binaarse tulemuse tõttu. Siiski võib probleem olla, kui lähtekomplektid oleksid kuidagi ohustatud.
Gentoo turvaekspertide sõnul võib see juhtuda vaid vähestel võimalikel viisidel. Kui mõne lähtekoodi tüki ülesvoolu hoidla sisaldas trooja, siis oleks seda allavoolu raske tabada. Selline Linuxi turbeprobleem mõjutaks paljusid distributsioone ja mitte ainult Gentoo.
Kui tõrvafail vahetati kusagile reale, siis pole vahet, kas eelvoolu allikas oli puhas. Kuid OpenPGP kasutamine versiooni allkirjastamiseks enne selle lisamist Gentoo ebuildi hoidlasse koos kontrollsummade kontrollimisega aitab tagada, et see ei peaks enamikus olukordades probleem olema.
AMA kommentaarid aitasid selgitada ka mõningaid muid meetodeid, mida kasutatakse sellise asja juhtumise vältimiseks. Kui hoidlatesse lisatakse tõuked või kohustused, kirjutavad arendajad neile alla. Rakendades peamise rsync-i vaheala tihendamiseks, lisades need seejärel allkirjastatud MetaManifesti, on klahvide pööramine arendajate jaoks muutunud üsna lihtsaks.
Uuesti rõhutatakse Linuxi turvaküsimusi peaaegu kõigis suuremates distros, kuid nendest kommentaaridest ilmneb kindlasti, et Gentoo on nende rakendamise ohutuse tagamiseks läinud veelgi kaugemale.
Sildid Linuxi turvalisus
