डेबियन: सिस्टम की एक संकीर्ण श्रेणी के लिए पैकेज बनाना

इस पोस्ट के हिस्से के रूप में, मैं एक छोटी बैसाखी विधि के बारे में बात करूंगा जिसका उपयोग मैंने ऐसे डिब पैकेज बनाने के लिए किया था जो केवल सर्वरों की एक विशिष्ट सूची में स्थापित किए जा सकते थे। समाधान उन सभी डेटा के रिसाव के डर के बिना, अन्य सभी विधानसभाओं के साथ एक केंद्रीय भंडार में इन पैकेजों को संग्रहीत करने की अनुमति देता है।

मौजूदा बिल्ड सिस्टम से कोड के टुकड़ों को फाड़ने के लिए नहीं, मैंने पोस्ट को एक अलग छोटे HOWTO के रूप में डिजाइन करने का फैसला किया, जिसमें मैं एन्क्रिप्टेड डेटा वाले एक सार पैकेज को खरोंचने से इकट्ठा करने पर विचार करूंगा। उदाहरण के लिए, कॉरपोरेट वितरण के अलावा, एक विशिष्ट उपयोग-मामला, अपने पसंदीदा उपनामों को जल्दी से और सुरक्षित रूप से स्थापित करने की क्षमता है, एक सार्वजनिक रूप से उपलब्ध पैकेज से एक नई प्रणाली में डिबग करता है: //example.com/myrepo।

दूसरे शब्दों में, आप पोस्टस्टीन में ओपनसेल का उपयोग कैसे कर सकते हैं, इस पर एक पोस्ट।

समस्या का बयान

एक काल्पनिक फ़ोकपैक पैकेज की कल्पना करें जो एक सिस्टम में तीन फाइलें स्थापित करता है:

• 1.opt / foopkg / clear.text : सुरक्षा-मुक्त पाठ
• 1.opt / foopkg / sensitive.config : दो मापदंडों के साथ कॉन्फ़िगर करें, जिनमें से एक गुप्त है
• / opt / foopkg / topsecret : मुख्य प्रश्न के उत्तर के साथ गुप्त फ़ाइल

मान लीजिए कि यह foopkg.deb के रूप में वितरित किया गया है, जो आंतरिक रिपॉजिटरी में उपलब्ध है, और apt-get install foopkg का उपयोग करके किसी भी सर्वर पर इंस्टॉल किया जा सकता है। मान लें कि हम आलसी हैं (यह), और हम चाहते हैं, एक तरफ, रिपॉजिटरी में सब कुछ रखने के लिए और केवल एप्टीट्यूड अपडेट && एप्टीट्यूड सुरक्षित-अपग्रेड करें , और उसके बाद हाथ से कुछ भी शासन न करें। दूसरी ओर, मान लें कि हम थोड़े पागल हैं (यह है), और हम नहीं चाहते कि कोई और हमारे अलावा हमारी गुप्त सेटिंग्स / कॉन्फिग्स सेट करे। बेशक, हम कठपुतली के बारे में भी जानते हैं, लेकिन हमें सिस्टम के लिए एक अलग चैनल खोलने की आवश्यकता क्यों है जब सब कुछ पहले से ही स्वचालित रूप से है (लेकिन यह एक अलग पोस्ट चक्र के लिए एक विषय है) जिस रूप में हमें ज़रूरत है?

निर्णय

• हम पैकेज के निर्माण से पहले फाइलों (या फाइलों के टुकड़े) को एन्क्रिप्ट करते हैं
• पैकेज लीजिए
• ???
• लाभ

आइए इस HOWTO के दायरे से परे मुद्दों पर हस्ताक्षर करने वाले पैकेज को छोड़ दें, और हम पैकेज बनाने के लिए इक्विवि का उपयोग करेंगे।

बिल्ड वातावरण तैयार करना:

mkdir -p foobuild/root_dir/opt/foopkg && cd foobuild touch {clear.txt,sensitive.config,topsecret} echo 'Package: foopkg' > control echo 'Pre-Depends: openssl' >> control # minimal control file, see man equivs-control echo -n 'ThisIsOurDeploymentMegaPassphrase' > pass 

सबसे आसान विकल्प पूरी फ़ाइल को एन्क्रिप्ट करना है:

 openssl aes-256-cbc -e -kfile ./pass -a -A -in $infile -out $outfile 

-एक ध्वज में थोड़ी सूक्ष्मता: इसके साथ, एन्क्रिप्टेड आउटपुट 64 वर्णों के ब्लॉक में हरा नहीं करता है, लेकिन एक पंक्ति में जाता है। यह केवल #! / बिन / डैश, थोड़ा आसान होने के बाद, पोस्टस्टाइन में डिक्रिप्शन प्रक्रिया को आसान बनाता है।

लेकिन कभी-कभी पूरी फ़ाइल को एन्क्रिप्ट करना दिलचस्प नहीं होता है। ठीक है, फिर हम सबस्ट्रिंग को एन्क्रिप्ट करते हैं। ऐसा करने के लिए, हम पहले उन मार्करों को निर्धारित करते हैं जिनके द्वारा एन्क्रिप्शन सीमाओं का निर्धारण किया जाएगा। सादगी के लिए, मैंने '___ एनक्रिप्‍शन {' और '} ___' फॉर्म के टोकन का उपयोग किया, लेकिन YMMV, कोई भी मार्कर जो फ़ाइल में निहित स्ट्रिंग को विशिष्ट रूप से विभाजित करता है, उपयुक्त है।

तदनुसार, परीक्षण फाइलें जो पहले से ही एन्क्रिप्शन के लिए तैयार हैं, कुछ इस तरह दिखती हैं:

clear.txt:

 This is clear text, free to view, nothing special. 

sensitive.config:

 clear_param=foo secret_param=___encrypt{bar}___ 

TopSecret:

 ___encrypt{this is multiline and 42}___ 

और एन्क्रिप्शन प्रक्रिया स्वयं, उदाहरण के लिए, इस तरह:

 #!/usr/bin/python import re import subprocess pass_file='./pass' def _encrypt(string): encre = re.compile('___encrypt{(.*?)}___', re.S) # non-greedy enc_string = string for el in encre.findall(string): # use openssl for encryption pipe = subprocess.Popen( ['openssl', 'aes-256-cbc', '-e', '-kfile', pass_file, '-a', '-A'], stdout = subprocess.PIPE, stdin = subprocess.PIPE, stderr = subprocess.PIPE, ) enc_el = pipe.communicate(input='%s' %el)[0] # Note: -A # add decryption markers enc_string = enc_string.replace('___encrypt{%s}___'%el, '___encrypted{%s}___'%enc_el) return enc_string # just for wrapper import sys print _encrypt( open(sys.argv[1], 'r').read() ) 

मैंने इसे अजगर में किया क्योंकि यह अधिक दृश्य और तेज है (श में स्ट्रिंग्स के साथ काम करना एक निश्चित प्रतिस्थापन को जोड़ने या निकालने की तुलना में अधिक कठिन है - विशेष रूप से मजबूत-इच्छाशक्ति और जिद्दी पुरुषों के लिए)। एल्गोरिथ्म सबसे सरल है: हम फ़ाइल को एक पंक्ति में पढ़ते हैं, देखो (लालच नहीं है, इसलिए बहुत अधिक कैप्चर नहीं करना है) प्रारंभ और अंत मार्करों द्वारा सभी सबस्ट्रिंग, एन्क्रिप्ट (सरलता के लिए ओपनसेल कॉलिंग), और इसे वापस पेस्ट करें, प्रारंभ मार्कर को एक मार्कर के साथ बदल दें जो कि डिकोडर समझता है।
अंतिम दो पंक्तियों को जोड़ा जाता है ताकि आप एक साधारण स्क्रिप्ट के साथ फ़ाइलों की सूची से गुजर सकें जो एन्क्रिप्टेड फ़ाइलों को तैयार करेगा और उन्हें पैकेज में शामिल करने के लिए सूची में जोड़ देगा:

 echo -n "Files: " >> control for file in clear.txt sensitive.config topsecret ; do ./encrypt.py $file > root_dir/opt/foopkg/$file; echo " root_dir/opt/foopkg/$file /opt/foopkg" >> control #note space! done 

लाइनों की शुरुआत में रिक्त स्थान न केवल अजगर में महत्वपूर्ण हैं, बल्कि डेब पैकेजों की नियंत्रण फ़ाइलों में भी हैं, हाँ।

और अंत में, अंतिम भाग, ग्राहक पक्ष पर डिक्रिप्शन, जो इस पैकेज को स्थापित करेगा। ऐसा करने के लिए, एक पोस्टस्टेन फ़ाइल बनाएँ जिसमें:

 #!/bin/sh -e set -e PKG=foopkg ELIST="/opt/foopkg/topsecret /opt/foopkg/sensitive.config" warning() { echo "*************************************************" echo "*** WARNING! This is a protected package, ***" echo "*** please contact the maintainer, blah blah. ***" echo "*************************************************" } decrypt() { file="${1}" keyfile="${2}" for line in `grep -o -z -P '___encrypted{(.*?)}___' "${file}"`; do l=`echo $line | sed 's/___encrypted{\(.*\)}___/\1/'` d=`echo $l | openssl aes-256-cbc -d -kfile ${keyfile} -a -A` sed -i.encbackup "s@___encrypted{${l}}___@`echo "${d}"|awk '{printf("%s\\\\n", $0);}'|sed -e 's/\\\n$//'`@g" "${file}" done } # common key source PASSFILE='/root/deployment-password' if [ "$1" = configure ]; then # decrypt all encrypted stuff if [ ! -f ${PASSFILE} ]; then warning exit 1 fi for file in ${ELIST}; do decrypt "${file}" "${PASSFILE}" done fi #DEBHELPER# exit 0 

यहाँ भी, सब कुछ सरल है। पैकेज बनाने के चरण में, हम पहले से ही जानते हैं कि कौन सी फाइलें एन्क्रिप्ट की गई हैं और कौन सी नहीं हैं - उन्हें स्क्रिप्ट में जोड़ें, जिससे उनके लिए जीवन आसान हो जाए। डिक्रिप्शन एल्गोरिथ्म समान है: हम मार्कर द्वारा सभी लाइनों की तलाश करते हैं, प्रत्येक के लिए ( -एक कुंजी याद रखें; यहां यह इसके बिना और अधिक कठिन होगा) हम सिफर को बाहर निकालते हैं और ओपनसेल को खिलाते हैं, जिसके बाद हम लाइन को उनके प्रतिनिधित्व में बदल देते हैं ( \ n ) तो सीड कसम नहीं खाता है , एक प्रतिस्थापन करें, और पुनर्स्थापना करें (फ़ाइल सहित अंत के अलावा) लाइन टूट जाती है। दुर्भाग्य से, हम अब यहां अजगर का उपयोग नहीं कर सकते हैं - समाधान भी न्यूनतम प्रतिष्ठानों के लिए डिज़ाइन किया गया था जहां कोई अजगर नहीं है या अभी तक नहीं है (उदाहरण के लिए, शुद्ध स्थापना)। मैंने पृष्ठ पर डिक्रिप्शन कोड नहीं खोला है, मैं माफी मांगता हूं अगर यह किसी के लिए अपठनीय लगता है।
बैकअप फ़ाइल बनाना वैकल्पिक है और हमेशा उपयोगी नहीं होता है, लेकिन इस मामले में मैंने इसे डिक्रिप्शन क्षण को स्पष्ट करने के लिए जोड़ा है।

नियंत्रण के लिए पोस्टइन जोड़ें:

 echo "File: postinst 755" >> control # inline postinst file header cat postinst | sed 's/^$/./;s/^/ /;' >> control # inline postinst file body 

इस मामले में सैड दो कार्य करता है:

1. s / / ^ / / / /; : डॉट्स के साथ खाली लाइनों को बदलना ताकि नियंत्रण फ़ाइल सही ढंग से पार्स करे, और
2. s / ^ / /; : एक ही कारण के लिए प्रत्येक पंक्ति की शुरुआत में एक स्थान जोड़ना।

हम पैकेज को इक्विविज़-बिल्ड कंट्रोल कमांड के साथ इकट्ठा करते हैं, हम अपने फूपोपिक_1.0_all.deb को वर्किंग डायरेक्टरी (अंत में, हाँ?) में प्राप्त करते हैं।

हम स्थापित करने की कोशिश कर रहे हैं (निश्चित रूप से, विशेषाधिकारों को बढ़ाने के अपने पसंदीदा तरीके का उपयोग करके):

 dpkg -i foopkg_1.0_all.deb Selecting previously unselected package foopkg. (Reading database ... 32032154537392375672 files and directories currently installed.) Unpacking foopkg (from .../foopkg/foopkg_1.0_all.deb) ... Setting up foopkg (1.0) ... ************************************************* *** WARNING! This is a protected package, *** *** please contact the maintainer, blah blah. *** ************************************************* dpkg: error processing foopkg (--install): subprocess installed post-installation script returned error exit status 1 Errors were encountered while processing: foopkg grep '' /opt/foopkg/* # package now in unconfigured state, lets see what installed /opt/foopkg/clear.txt:This is clear text, free to view, nothing special. /opt/foopkg/clear.txt: /opt/foopkg/sensitive.config:clear_param=foo /opt/foopkg/sensitive.config:secret_param=___encrypted{U2FsdGVkX19P9SiUFkMBPmoe9JKkngTi24rcwWCJ9gs=}___ /opt/foopkg/sensitive.config: /opt/foopkg/topsecret:___encrypted{U2FsdGVkX18wjp/ArVbp5v7yHazykiX3C2VDM9xavGrECXduajGmSmTipNpSRhZ5}___ /opt/foopkg/topsecret: echo -n 'ThisIsOurDeploymentMegaPassphrase' > /root/deployment-password # ok, lets enable decryption dpkg --configure -a # retry install Setting up foopkg (1.0) ... grep '' /opt/foopkg/* # lets see again -- yep, backups and decrypted files are in place. /opt/foopkg/clear.txt:This is clear text, free to view, nothing special. /opt/foopkg/clear.txt: /opt/foopkg/sensitive.config:clear_param=foo /opt/foopkg/sensitive.config:secret_param=bar /opt/foopkg/sensitive.config: /opt/foopkg/sensitive.config.encbackup:clear_param=foo /opt/foopkg/sensitive.config.encbackup:secret_param=___encrypted{U2FsdGVkX19P9SiUFkMBPmoe9JKkngTi24rcwWCJ9gs=}___ /opt/foopkg/sensitive.config.encbackup: /opt/foopkg/topsecret:this /opt/foopkg/topsecret:is /opt/foopkg/topsecret:multiline /opt/foopkg/topsecret:and /opt/foopkg/topsecret:42 /opt/foopkg/topsecret: /opt/foopkg/topsecret.encbackup:___encrypted{U2FsdGVkX18wjp/ArVbp5v7yHazykiX3C2VDM9xavGrECXduajGmSmTipNpSRhZ5}___ /opt/foopkg/topsecret.encbackup: 

अब हम अपने पैकेज को टोरेंट में वितरित कर सकते हैं और इसे बिना किसी डर के होस्टिंग साइटों पर फ़ाइल करने के लिए अपलोड कर सकते हैं, जहां इसकी सामग्री उपलब्ध हो जाएगी जहाँ इसका इरादा नहीं था (ज़ाहिर है, एक पर्याप्त क्रिप्टोग्राफ़िक पासवर्ड के साथ)।

संभावित लाभ और अनुप्रयोग

• आप इस तकनीक को व्यावहारिक कार्यान्वयन के उदाहरण के रूप में मान सकते हैं - एक समय में Google ने वांछित परिणाम नहीं दिए थे;
• IANAC (मैं एक क्रिप्टोग्राफर नहीं हूं), मेरे पास ओपनसेल पर भरोसा नहीं करने का कोई कारण नहीं है। अगर कोई इंगित करता है कि ऐसा तरीका इरादा के अनुसार काम नहीं कर सकता है, तो मैं इसकी बहुत सराहना करूंगा;
• यह विशाल फ़ाइलों पर उपयोग करने का इरादा नहीं है, निश्चित रूप से;
• मैं व्यक्तिगत रूप से IPSec को मशीनों पर कॉन्फ़िगर करने के लिए कॉन्फ़िगर करने और प्राथमिक कुंजियों को वितरित करने के लिए इस विधि का उपयोग करता हूं, न कि तकनीक-प्रेमी रिश्तेदारों / दोस्तों;
• अगर यह किसी के लिए महत्वपूर्ण है, आरपीएम-आधारित को पोर्ट करने से समस्याएं पैदा नहीं होनी चाहिए;
• मैंने अलग-अलग ग्राहकों के लिए अलग-अलग कुंजियों के साथ एन्क्रिप्शन चालू नहीं किया, पैकेज पर हस्ताक्षर करने और रिपॉजिटरी स्थापित करने के लिए, मैंने पोस्ट को छोटा करने की कोशिश की।

अंत तक पढ़ने वाले सभी के लिए धन्यवाद, मुझे उम्मीद है कि यह काम आएगा। सार्वजनिक डोमेन में सब कुछ, ज़ाहिर है।