[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Agent mail




Le 15/10/2013 12:36, Johnny B a écrit :
Le 10/15/2013 10:31 AM, Sébastien NOBILI a écrit :
Le lundi 14 octobre 2013 à 22:47, Johnny B a écrit :
Cette procédure permet d'installer les dernières versions de
Thunderbird et Firefox

http://www.mozilladeb.fr/
Cette procédure permet d'installer ces deux logiciels sous forme binaire sans
aucune indication de leur origine.

Qu'est-ce qui garantit que ces binaires sont dignes de confiance ?
Qu'est-ce qui garantit qu'ils ne sont pas porteur d'un rootkit quelconque ?
Sans aller jusqu'à ces considérations extrêmes, qu'est-ce qui garantit que le
responsable de ce dépôt n'a pas activé ou désactivé une option de compilation
pour ses propres besoins mais qui irait à l'encontre des tiens¹ ?

¹ ce point est fondé sur mon expérience personnelle, je maintiens un dépôt dans
lequel je recompile des paquets en désactivant certaines fonctions dont je ne
veux pas.

Ne *jamais* ajouter de dépôt binaire dont on ne peut vérifier la confiance ! (ou
alors faire une croix sur la sécurité de son système…)

Seb
Il suffit de checker les binaires avec un debsum ;)

Les MD5 et moi, ce n'est pas encore le convolage.
MD5 calcule l'intégrité d'un fichier (comme les clients bittorrent vérifient les copies installées des fichiers)?
Mais si je lance un debsums nom.paquet depuis une vérification en local quel script/client me garantit qu'il vérifie le hashage avec un site hébergeant les paquets réputé intègre au quel j'ajoute que la version installée par les sources sont par définition pas marqués 'supporté' (qu'est-ce qui gère dans ce cas l'origine du fichier - l'intégrité du fichier - la BD Réputation d'un site faisant autorité/source )

Repris du man,page:
 Les fichiers ayant été remplacés  par  un  autre  paquet  peuvent  être
       considérés à tort comme ayant été modifiés.

       debsums  est  principalement  destiné  à être utilisé comme un moyen de
       déterminer les fichiers installés qui ont été modifiés  localement  par
       l’administrateur  ou endommagés par des erreurs de support physique. Il
       est d’une utilité limitée en tant qu’outil de sécurité.

       Si vous recherchez un vérificateur d’intégrité qui puisse être  exécuté
       depuis  un support sûr, qui fasse des vérifications d’intégrité sur les
       bases de données des sommes de contrôle et qui puisse  être  facilement
       configuré pour se lancer périodiquement et avertir l’administrateur des
       changements, veuillez regarder d’autres outils comme : aide,  integrit,
       samhain ou tripwire.



begin:vcard
fn:Dorian Carpentier de Changy
n:Carpentier de Changy;Dorian
email;internet:dechangydorian@yahoo.fr
tel;home:0497.62.32.49
version:2.1
end:vcard


Reply to: