LINUX.ORG.RU

Вопрос про удаленную компиляцию

 ,


0

3

Насколько это безопасно? Возможно ли сделать какую-то инъекцию компилятора, или что-то подобное, чтобы он выдавал опасные бинарники? Правильно я понимаю, что лучше не использовать ccache?

Паранойю немного. Вот, например, представить, что мой VPS-провайдер взломан, а я все бинарники для себя компилирую на его серверах. Как поступить, чтобы максимально обезопасить себя? У меня есть идея написать скрипт, который будет периодически проверять хэш файлов в системе, и сравнивать с ранее полученным — но это всё выглядить как-то по-детски, возможно и это можно легко обойти.


Ответ на: комментарий от stevejobs

А чем плох предложенный мной способ защиты? Ну может какие-то другие способы есть защиты, не в курсе?

letni ()

Блин, ребят, кто знает, дайте инфы, пожалуйста.

letni ()

Самое безопасное, пожалуй, создать новую виртуалку, поставить необходимый софт, выкачать исходники, скомпилить, задеплоить куда надо и убить виртуалку. Так никто не будет знать, что именно происходит и зачем.

Скорее всего вместо виртуальной машины можно поднимать докер. Но если он будет в хакнутой виртуалке, а он будет, то паранойя пострадает.

Irben ★★ ()

Но откуда ты знаешь, что не все компилятолры в мире уже хакнуты и не внедряют везде код скрывающий это.

anonymous ()

Аналогично и с локалхостом. Более того, домашний компьютер, думаю, взломать проще, чем сервер.

Общий подход тут в использовании контрольных сумм и менеджера пакетов для их проверки ( доморощенные скрипты для этого не нужны, см., например, статью http://www.opennet.ru/tips/info/2631.shtml ). Если что, подозрительные пакеты удалить, снова скачать и повторно установить. Но если взломан репозиторий, то это не поможет. А если взломаны все репозитории и все компиляторы в мире, то, как правильно заметил анонимус, не поможет ничто. :-)

aureliano15 ★★ ()
Ответ на: комментарий от anonymous

Это вопрос вероятностей. Если так думать, то с ума сойти можно, ибо возможных векторов атак очень много.

letni ()

У меня есть идея написать скрипт, который будет периодически проверять хэш файлов в системе, и сравнивать с ранее полученным — но это всё выглядить как-то по-детски, возможно и это можно легко обойти

Зависит от того, как реализовать. Если хэши со скриптом лежат на удаленном хосте, то будет уже немного интереснее.

CaveRat ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.