Assinatura de Bot Seguro e empacotamento

juniorangelo
(usa Outra)

Enviado em 03/10/2022 - 16:57h

Hello pinguins <3

Hoje vim aqui pedir a ajudar e colaboração de todos da comunidade, Refente a um assunto pouco abordado na comunidade e que veio a ser meu trabalho .
Como é feito o processo de assinatura no kernel do debian . Gostaria de saber como faço pra assinar e empacotar o kernel já com a assinatura ou fazer um pacote do kernel já assinado .

distromaialinux
(usa Debian)

Enviado em 03/10/2022 - 17:12h

Esse é realmente um assunto bem complexo. Por favor, assista o video do Paulo Kretcheu que fala sobre como criptografar e assinar algo usando o gpg:
https://www.youtube.com/watch?v=fL-1o85pq6M

Para conseguir criar o pacote .deb, por favor assista o seguinte video do Slackjeff abaixo:
https://www.youtube.com/watch?v=77z-4XNlkgY&t=975s

Para Instalar pacote a vulso do Kernel:
https://www.youtube.com/watch?v=nXIRGn1m1H0

Use o primeiro video com o último video do kernel. O segundo depende de que tipo de empacotamento você fará. Aí você escolherá entre o pacote .deb ou a melhor forma a sua maneira. Muitos casos utilizam apenas o .tar.xz ou .tar.gz para compactar o pacote.

Para essa questão o melhor é assistir esses videos que irão te esclarecer melhor do que se eu fosse te explicar, ok!. Assim você entenderá bem melhor do assunto abordado.

juniorangelo
(usa Outra)

Enviado em 04/10/2022 - 08:42h

Olá amigo tudo bom com você ? Espero que esteja .

Então olhei os video , mais minha duvida é de fato entender como realmente acontece no seguinte ..

Estou desenvolvendo uma distro juntamente com uma equipe , sou o estagiário do grupo e o carinha que ficou com essa tarefa .
preciso entender como que e feito essa assinatura do kernel do linux para que possamos distribuir depois a distro com o kernel já assinado , pois estamos também desenvolvendo um boot seguro.

A maior duvida que estou seria referente a saber se realmente e feito um pacote ou algo na compilação do kernel ou simplesmente e só assina o vmlinuz .
De fato o maior objetivo seria esse , na hora que liberar o repositório e liberar a distro para o usuário ter nossa assinatura em tudo certinho. Sei que e complexo esse assunto e demora pra entender mais se caso você esteja disponível para um dialogo gostaria muito de ter uma troca de informação . Desde já agradeço seu tempo para tirar minha duvida muito obrigado pela disposição . #vivaolinux

distromaialinux
(usa Debian)

Enviado em 04/10/2022 - 11:35h

Olá tudo bem, te entendi mais ou menos. O que posso te dizer é que eu fiz o LFS e o BLFS que é o linux do zero já, e eu nunca precisei fazer assinatura do Kernel, pois quando é feito do zero, a gente tem duas opções:

1º : Fazemos a distro para o nosso hardware

2º : Ou fazemos a distro para a comunidade

Se a escolha for a primeira, então acredito que quando você chamar o make menuconfig, dentre as opções de segurança poderá haver uma opção dessa de assinatura, mas eu nunca precisei então eu nunca vi, lamento.

Eu sempre fiz a segunda opção que seria o modo mais genérico possível pra abranger o máximo de compatibilidade com todos o hardwares possíveis.

Então vou ficar te devendo essa resposta. Mas o lado bom é que deve ter alguém que já fez esse tipo de assinatura e logo estará te respondendo e te ajudando também, beleza!
Tchau e boa sorte com a distribuição. Tmj! valeu!