Re: Gehacked ????????
Rainer Ellinger (rainer@ellinger.de) wrote 19 lines:
> Und wo war mldonkey her? Ich schätze, es war kein Problem, Dir einen
> Trojaner unter zu jubeln. Bei Installationen aus offiziellen
> Debian-Quellen gibt es wenigstens eine minimale Sicherheit den
> Verursacher identifizieren und dingfest machen zu können.
Nicht mehr als bei offiziellen foo Quellen. Jedenfalls
nicht, solange nicht wenigstens
- alle Pakete kryptographisch signiert sind
- alle nicht signierten Pakete nicht installiert werden
- signierte Listen mit eingebautem Verfallsdatum die
aktuellen Pakete kennzeichnen (sonst bekommst du ein
perfekt signiertes Paket -- sagen wir SSL -- mit aktuell
exploiteter Sicherheitsluecke, da das Paket alt ist)
Das 2. uebernimmt debsig-verify.
-Wolfgang
Reply to: