[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: securité et sources.list

Georges Mariano a écrit:


Pour info mon site supporte la signature gpg des fichiers Packages{gz}
comme ceux des paquets officiels.


Juste par curiosité, quel est le rapport entre la signature gpg et la
protection contre  l'occurence (certainement ;-) involontaire d'un "rm
-rf /" dans un script quelconque... ??

(on peut imaginer un rm -rf /temp dans un postrm avec un CR mal placé
juste derrière le /, avant de sauvegarder, d'empaqueter et de livrer le
.deb tout beau)
Ceci est typiquement un problème qu'on peut effectivement avoir si on utilise la version... Sid... A voir la façon dont sont couchées les lignes, on a presque l'impression que la version stable de debian est la Sid: non, la version stable à mettre en production est la woody dite stable. A la rigueur, on peut mettre une sarge ou testing, les 15 jours de quarantaine permettent de se prémunir de ce genre de risques: un paquet ne doit pas avoir eu de bug majeur reconnu durant 15 jours avant de 
passer dans la série testing.


Autrement en ce qui concerne les paquets non-officiels il n'y a aucun
moyen de savoir si ils sont fiables ou non, et le mieux est de ne pas
mettre ses adresses ton le sources.list


La véritable sécurité octroyée par le fait qu'il y ai un site officiel
n'a rien à voir (dans ces cas là) avec la signature gpg mais juste par
le fait que le site officiel "tombera" avant la machine du
pov'utilisateur, et encore en supposant que la machine qui recompile (et
qui exécutera la bombe, quelle que soit la nature de cette dernière) soit en amont de celle qui sert les paquets.
Un site officiel peut être vu comme un super-fusible... 
Et encore, si j'ai bien compris les paquets i386 ne passent (toujours)
pas par les autobuilders donc le temps qu'on s'aperçoive d'un problème
quelques utilisateurs de Sid tomberont dans les pommes.
On n'a jamais dit qu'utiliser Sid n'était pas sans risques, bien au contraire ! Ce n'est pas pour rien que cette version de la debian reste déconseillée aux utilisateurs non-avertis qui seraient bien incapable de recouvrer un système fonctionnel aprés le moindre problème pouvant 
survenir dans le développement "sur le fil du rasoir" de la Sid...
Elle a beau paraître aussi "stable" que les versions stables des autres distributions, elle reste instable. 



Les clés pgp ne sont pas des _protections_ mais simplement des éléments
de traçabilité et d'intégrité. S'il y a un pépin, on a des chances de
remonter à la source et c'est donc paraît-il dissuasif. De même, si un
mainteneur Debian fait une bourde, le fait de signer son paquet ne va
pas virer la bourde ... (si j'ai bien compris gpg, évidemment)
Les clés GPG permettent juste de s'assurer que le développeur qui a fait le paquet est bel et bien un développeur officiel du projet Debian, c'est tout: la sécurité est une question d'administration et de 
confiance.

--
Raphaël Bordet
surcouf@linuxfr.net
Reply to: