[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: securité et sources.list

> Pour info mon site supporte la signature gpg des fichiers Packages{gz}
> comme ceux des paquets officiels.

Juste par curiosité, quel est le rapport entre la signature gpg et la
protection contre  l'occurence (certainement ;-) involontaire d'un "rm
-rf /" dans un script quelconque... ??

(on peut imaginer un rm -rf /temp dans un postrm avec un CR mal placé
juste derrière le /, avant de sauvegarder, d'empaqueter et de livrer le
.deb tout beau)

> Autrement en ce qui concerne les paquets non-officiels il n'y a aucun
> moyen de savoir si ils sont fiables ou non, et le mieux est de ne pas
> mettre ses adresses ton le sources.list

La véritable sécurité octroyée par le fait qu'il y ai un site officiel
n'a rien à voir (dans ces cas là) avec la signature gpg mais juste par
le fait que le site officiel "tombera" avant la machine du
pov'utilisateur, et encore en supposant que la machine qui recompile (et
qui exécutera la bombe, quelle que soit la nature de cette dernière) 
soit en amont de celle qui sert les paquets.

Un site officiel peut être vu comme un super-fusible... 

Et encore, si j'ai bien compris les paquets i386 ne passent (toujours)
pas par les autobuilders donc le temps qu'on s'aperçoive d'un problème
quelques utilisateurs de Sid tomberont dans les pommes.

Les clés pgp ne sont pas des _protections_ mais simplement des éléments
de traçabilité et d'intégrité. S'il y a un pépin, on a des chances de
remonter à la source et c'est donc paraît-il dissuasif. De même, si un
mainteneur Debian fait une bourde, le fait de signer son paquet ne va
pas virer la bourde ... (si j'ai bien compris gpg, évidemment)

PS : Avant de crier à la désinformation éhontée, merci de passer par la
case debian-devel et d'y retrouver la discussion concernant les moyens à
mettre en oeuvre pour protéger les machines officielles de ce genre de
mésaventures.  

(same player, chroot again  ;-)

PS2 : évidemment, tout dépend de la définition que l'on donne à
"fiable".

A+  

-- 
mailto:georges.mariano@inrets.fr     tel: (33) 03 20 43 84 06   
INRETS, 20 rue Élisée Reclus         fax: (33) 03 20 43 83 59   
BP 317 -- 59666 Villeneuve d'Ascq       
http://www3.inrets.fr/estas/mariano
Reply to: