RPM - 署名後にパッケージを変更する

Question

当社の製品をお客様の環境に展開するためにRPMパッケージを使用しています。 RPMを完全に自己完結させるために、特定の顧客の環境に合わせてRPMをカスタマイズしています。この方法では、顧客は、ウィザードに従って構成ファイルを編集することなく、RPMをインストールすればよいだけです。

私の問題は次のとおりです。 RPMパッケージをパーソナライズする前に署名します。パーソナライゼーションプロセスでは、RPMファイルに情報を追加します（実際にはRPMヘッダーを追加することなく、生データを追加するだけです）。この変更により（当然）パッケージの署名が破られます。

私が探しているのは、署名を破棄することなくファイルを修正できるトリックです。パッケージの

1. 「リード」部分を使用することができます予約バイトが含まれていますが、それは非常に大きさでかつスケーラブルではない制限されます。

   は、ここで私はこれまで試したものです。

2. 拡張ファイル属性を追加すると非常に使いやすいですが、ファイルをコピーすると属性が消えます（属性を保持する特別なフラグがありますが、その使用を強制することはできません）。
3. ダミーヘッダーをRPMに挿入し、RPMコードをチェックしないように欺くことを考えましたが、それでもやり方はまだ分かりません。
4. パッケージに署名するパーソナライゼーションが行われた後でも、一度ではなく各顧客のパッケージに署名する必要があるため、スケーラビリティもありません。

署名がファイルの内容を変更しないようにする必要があることはわかっています（期待どおりに動作します）。しかし、RPM データを変更したくない場合は、ファイルに追加情報を入れてください。

アイデア？

ありがとうございます！

Answer 1

既存のシグネチャを保持しながら* .rpmを変更する必要がある場合は、タグ番号を10進数〜275〜999の範囲で署名ヘッダーに追加することをお勧めします。既存の署名平文（ヘッダーのみとヘッダー+ペイロード）署名ヘッダー内の追加タグ/データの影響を受けません。

最近のバージョンのRPMでは、ファジー化によって発見されたセグメンテーションを防ぐために、タグと型およびデータを明示的に列挙しなければならないことに注意してください。しかしその場合でも、追加のデータを取り込むことができるパディングタグ（メモリから0x3fffffff）があります。再び - iirc - rpmの最新バージョンは、パディングがすべて0x00であることを確認して、emptorを警告します。

一方、「パーソナライゼーション」は何も記述されておらず、パッケージのインストール時に署名ヘッダーに追加されたタグは破棄されます。 * .rpmのシグネチャヘッダを書き換えるコードは、署名ヘッダに続くメタデータヘッダが8バイトアライメントされていることを保証するために、パディングのためにややこしいことに注意してください。

「パーソナライゼーション」を含む追加ファイルが、より良いエンジニアリングアプローチであることがわかります。ハッキングの技術では、パーソナライゼーションが行われた後、パッケージの署名;-)

Answer 2

5番目の選択肢は、変更内容を組み込んだパッケージを作成し、署名されたパッケージに依存することです。 パッケージに署名するかどうかは、配布方法によって異なります。

あなたのパッケージは、元のRPM内のファイルを変更した場合、あなたは%preと%preunスクリプトレットがバックアップバージョンに元のファイルの名前を変更することや、あなたの代替品へのシンボリックリンクを追加することによって、この（ファイル名の矛盾使用）を回避することができます。これは元のパッケージの内容を確認することには影響しますが、変更はケースバイケースで確認できるものでなければなりません。

Answer 3

を停止する際に知っている - また それは我々が一度だけ、各 顧客のためのパッケージに署名の代わりにする必要が意味するので、スケーラブルではありません。

なぜこれは縮尺されていないのですか？ rpmsignがあなたにパスフレーズを入力してもらいたいからです。 obs-signを見る https://en.opensuse.org/openSUSE:Build_Service_Signer （Suse、FedoraとEpelで利用可能）それは署名を自動化し、それを安全に保つことができます。