プロトタイプアーチLinuxイメージ生成スクリプトの一部として(参照コードレビューはこちら)、私は通常のpacstrapユーティリティを使用して、起動可能なインストールやその他のパッケージでファイルシステムを入力します。
ホストに関するどの情報が新しいファイルシステムのインストールに使用または含まれていますか?
私が最も懸念しているのは、結果のファイルシステムイメージをアップロードまたは配布するときに、セキュリティまたは識別可能な情報が誤って公開されることです。
2番目の問題は、ファイルシステムイメージがハードウェア(64ビットAMD / Intel以上)に収まり、他のデバイスで正しく起動または実行されないことです。
ベストアンサー1
pacstrapを使用して生成された最小テストイメージを調べ、pacstrapヘルプを調べると、少なくとも次の情報が新しいシステムに送信されたようです。
- パッケージストアと認証のリストです。
- あなたはパックマンです。キーホルダー(信頼型認証のウェブです。
どちらも少なくとも一部の身元情報を開示し、以前の活動に応じてキーリングにあなたの身元を含めることができます。
作業を高速化したり、インターネットトラフィックを減らすためのローカルミラーである個人/組織パッケージストアがある場合、または「承認済み」パッケージが含まれている場合、ミラーリストは内部ネットワークの詳細を提供します。
あなたのパックマンキーホルダーには、あなたのパックマンへのリンクが含まれる場合があります。GnuPGあなた/あなたに固有のパッケージの公開鍵または組織内の他の人の鍵です。キーリングへのアクセスと分析を許可すると、攻撃者がイメージの元の識別子として使用できる一般的なキーを見つける可能性があります。
これらの多くは、攻撃の軽減戦略(何が重要になるかを正確に予測するのが難しいため、明らかなリスクに関係なく、不要な情報量を減らすための簡単なリスク軽減策)を備えた組織にのみ意味があります。
パックマンのヘルプは、次を移動しない方法を提供します。
$ pacstrap -h
usage: pacstrap [options] root [packages...]
Options:
-C config Use an alternate config file for pacman
-c Use the package cache on the host, rather than the target
-G Avoid copying the host's pacman keyring to the target
-i Avoid auto-confirmation of package selections
-M Avoid copying the host's mirrorlist to the target
-h Print this help message
pacstrap installs packages to the specified new root directory. If no packages
are given, pacstrap defaults to the "base" group.
したがって、-Gおよび-Mオプションを使用すると、この情報はコピーされませんが、新規インストール時にその情報を再入力する必要があります。次のコマンドを使用して新しいキーリングを生成できます。
pacman-key --init && pacman-key --populate archlinux
「適切な」ミラーリスト(与えられた状況の意味は何でも)を準備して、/etc/pacman.d/mirrorlistに配置できます。