Re: debsums e file senza md5

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: debsums e file senza md5
From: Gian Piero Carrubba <gp-ml@rm-rf.it>
Date: Wed, 12 May 2004 18:16:01 +0200
Message-id: <[🔎] 1084378561.7384.72.camel@localhost>
In-reply-to: <[🔎] 20040512145451.GA1582@cervellone>
References: <[🔎] 20040511162445.GA7293@cervellone> <[🔎] 1084358303.9074.16.camel@localhost> <[🔎] 20040512145451.GA1582@cervellone>

Il mer, 2004-05-12 alle 16:54, Leonardo Canducci ha scritto:
> > dists/woody/Release e' firmato con gpg e contiene l'hash md5 di
> > dists/woody/main/binary-i386/Packages(.gz)? il quale a sua volta
> > contiene gli hash dei singoli pacchetti (ovviamente sostituisci release
> > e architettura a tuo piacimento). apt v6 dovrebbe fare questo tipo di
> > controllo.
> 
> trovato:
> /var/lib/apt/lists/ftp.it.debian.org_debian_dists_sid_main_binary-i386_Packages

Pero' per avere la certezza (relativa) della sua autenticita' (e quindi
dell'affidabilita' delle informazioni in esso contenute) devi
ripercorrere a ritroso il tragitto sopra descritto fino ad arrivare ad
una firma gpg.

> pù che altro era questo che mi interessava. quindi, per esempio:
> 
> dpkg -S /bin/bash -> scopro che il file proviene dal pacchetto bash.
> scarico il pacchetto o lo trovo in /var/cache/apt/archives	
> controllo che ci sia il file /bin/bash
> dpkg -c /var/cache/apt/archives/bash_2.05b-15_i386.deb | grep /bin/bash$
> poi estraggo i file di controllo dal paccetto bash con:
> dpkg -e /var/cache/apt/archives/bash_2.05b-15_i386.deb
> e trovo nella dir DEBIAN il file con l'md5 di /bin/bash.
> 
> poi come lo do in pasto a debsums?

Probabilmente avevo interpretato male la prima richiesta.
Nel caso esposto ti basta confrontare quel file con
/var/lib/dpkg/info/bash.md5sums. Per i pacchetti che non hanno il file
md5sums, puoi generarlo con debsums -g (o direttamente con md5sum).

Il problema e' pero' l'affidabilita' del controllo cosi' effettuato.
Un procedimento appena un po' piu' affidabile e facilmente
automatizzabile potrebbe essere:

- da una macchina "sicura" ti scarichi il Release e ne controlli la
firma
- ti scarichi il Packages e ne controlli l'md5
- ti scarichi i pacchetti e ne controlli l'md5
- generi gli md5 con debsums
- compili staticamente md5sum
- ti connetti con la macchina da controllare e copi l'md5sum statico e
il database creato
- fai partire il controllo

Anche cosi' ci sono diversi "anelli deboli", pero' gia' mi pare possa
considerarsi un livello di rischio accettabile (ovviamente per esigenze
medio/basse).

Ciao,
Gian Piero.

Reply to:

References:
- debsums e file senza md5
  - From: Leonardo Canducci <leonardocanducci@yahoo.it>
- Re: debsums e file senza md5
  - From: Gian Piero Carrubba <gp-ml@rm-rf.it>
- Re: debsums e file senza md5
  - From: Leonardo Canducci <leonardocanducci@yahoo.it>

Prev by Date: Re: apache+php4+mysql
Next by Date: Re: DVD
Previous by thread: Re: debsums e file senza md5
Next by thread: Browser e televisione
Index(es):
- Date
- Thread