On Sun, Jul 04, 2004 at 12:48:35PM +0200, Andreas Schockenhoff wrote:
> > Definiere sicher !
> Der Key des Servers liegt mit auf der CD und ich vertraue der CD weil
> ich sie installiere. Danach sollte der Server z.B. skolelinux.de mir
> sichere Updates ermöglichen.
Das bedeuted das zum auslieferzeitpunkt bekannt sein muss welche
repositories existieren und welche keys der maintainer benutzt werden.
> Ich will sie erstmal nur von diesem Server nehmen. Oder nachdem dieser
> Server mir weitere Schlüssel geliefert hat auch diese.
Dieser Server weitere schluessel wird nie passieren. Es gibt einen
schluessel pro repository. Debian oder Skolelinux sind jeweile die
repositories die deine keys als trustworthy einstuffen. Ich glaube kaum
das Debian oder Skolelinux weitere keys inoffizieller repositories
shippen da kein institutioneller druck ausgeuebt werden kann. Im
offiziellen repositories koennen pakete entfernt werden. Wer aber
schuetzt dich vor jemandem der ein trustworthy repository baut und immer
pakete dort liegen hat die eine ein tick bessere versionsnummer haben ?
> Der Gedanke geht so in Richtung automatischer Updates für produktiv
> Systeme.
>
> wäre evtl. ein Möglichkeit z.B.
> deb https://security.debian.org/ stable/updates main contrib non-free
> aber evtl. etwas mehr als nötig.
Die Policy fuer security ist "in stein gemeisselt" - D.h. deine updates
koennen nur ueber inoffizielle repositories kommen (z.b. backports.org).
Aber ich glaube kaum das das Debian project dieses repositories auf
o.g. gruenden von sich aus als "trustworthy" markiert. Wenn ueberhaupt
wirst du diese keys selber importieren muessen.
Flo
--
Florian Lohoff flo@rfc822.org +49-171-2280134
Heisenberg may have been here.
Attachment:
pgpwO0dUvVGFA.pgp
Description: PGP signature