Re: apt-get Sicherheit

To: debian-user-german@lists.debian.org
Subject: Re: apt-get Sicherheit
From: Andreas Metzler <ametzler@downhill.at.eu.org>
Date: Tue, 29 Oct 2002 17:13:07 +0100
Message-id: <[🔎] E186YzL-00008e-00@mid.downhill.at.eu.org>
Mail-followup-to: <debian-user-german@lists.debian.org>
References: <[🔎] 200210291552.33083.albert@aicas.com>

Matthias Albert <albert@aicas.com> wrote:
> wie läuft eigentlich das apt-get install übers Internet ab? -> gibts da ne 
> Sicherheit? sprich mit dem fingerprint (wenn ja wie funktioniert das)
> woher weiss ich das wirklich meine pakete von debian.org bekomme?
> per DNS Attacke könnte sich ja eigentlich jemand davor schalten?
[...]

Afaik gibt es *momentan* per default _keine_ derartige Ueberpruefung,
aber das Release-file ist pgp-signiert und enthaelt wiederum die
md5-Summen der Packages Dateien. Auf der Homepage von Anthony Towns,
iirc people.debian.org/~ajt/ gibt es ein skript, um sie zu ueberpruefen.

Ausserdem ist die Infrastruktur zum Signieren einzelner Pakete im
Werden, die Programe dafuer gibt es schon:

debsigs --list /cdrom/debian/pool/main/g/gnupg/gnupg_1.0.6-3_i386.deb
GPG signatures in /cdrom/debian/pool/main/g/gnupg/gnupg_1.0.6-3_i386.deb:
 *** NO ATTEMPT HAS BEEN MADE TO VERIFY THE LISTED SIGNATURES ***

          cu andreas

Reply to:

References:
- apt-get Sicherheit
  - From: Matthias Albert <albert@aicas.com>

Prev by Date: Re: APT, Pinning und große Programme
Next by Date: Re: Postfixproblem mit mehrern Domainen
Previous by thread: Re: apt-get Sicherheit
Next by thread: Bandbreite Shapen ohne Kernel-Module
Index(es):
- Date
- Thread