Jan Dinger: > On Mon, 20 Nov 2006 11:55:28 +0100 > > > Wenn du möglichst viele Pakete haben willst: > > deb http://debian-multimedia.org stable main > > Am besten ist da: > # echo deb http://www.debian-multimedia.org stable main >> /etc/apt/sources.list > # gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 1F41B907 && apt-key add /root/.gnupg/pubring.gpg Nein, auf keine Fall. Ich kann nur davon abraten, den Key so zu importieren. Erklärung weiter unten. Wirklich "am besten" ist, wenn man auch weiß, was das bedeutet. Einleitend dazu sollte man sich am besten das hier durchlesen (englisch): http://soijabanaani.net/tmp/the_trevino_story Deutsche Kurzfassung: jemand hat hinter seiner DSL-Leitung ein kleines apt-Repository für Ubuntu aufgesetzt. Er hat das augenscheinlich nirgendwo großartig angekündigt und wollte schon aufgrund der schwachen Leitung keine großen Nutzerzahlen. Außerdem bezeichnet er seine Pakete als "highly experimental". Nun hat irgendjemand anders in seinem Blog eine sources.list veröffentlicht, wo er jedes erdenkliche Repository auflistet, darunter auch das eben erwähnte. Als dem Betreiber die sprunghaft gesteigenen Zugriffszahlen aufgefallen sind, hat er sich geärgert, dass so viele Leute ohne nachzudenken Software aus beliebigen Quellen installieren. Um das zu demonstrieren hat er mit einem seiner Pakete das Standardhintergrundbild geändert: <http://static.flickr.com/122/296804891_23fbcf65b3.jpg?v=0>. Daraufhin wurde er von einigen Leuten aufs Übelste beschimpft (siehe erster Link). Dabei hat er sie bloß sanft aber deutlich daran erinnert, dass es -- egal, welches Betriebssystem man benutzt -- keine gute Idee ist, nicht-vertrauenswürdige Software zu installieren. Worauf ich hinauswill: apt hat deswegen das Keymanagement-Feature bekommen, damit ein Nutzer oder Administrator verifizieren kann, dass die zu installierende Software aus einer bestimmten, vertrauenswürdigen Quelle kommt. Importiert man einen Schlüssel in den von apt benutzten Keyring, dann interpretiert apt das so, dass man allen mit diesem Schlüssel signierten Paketen vertraut! Die Meldung, dass apt wegen eines fehlenden Keys den Ursprung nicht verifizieren kann, *ist keine Fehlermeldung.* Vielmehr ist es eine Warnung davor, Software aus einer Quelle zu installieren, der man nicht traut. *Wenn* man der Quelle traut, dann teilt man das apt durch das Importieren genau dieses Schlüssels mit. Ich halte es für fahrlässig, Nutzern das "magische Kommando" zu geben, damit die Fehlermeldung weggeht, ohne sie darüber aufzuklären, was das eigentlich bedeutet. Das Importieren des kompletten pubring.gpg (wie oben vorgeschlagen) ist übrigens ein katastrophaler Vorschlag. In diesem Fall mag das nicht so dramatisch sein, weil man als root (hoffentlich...) nicht ständig gpg benutzt, aber dennoch: einen Key in seinem Keyring vorzuhalten, ist etwas völlig anderes, als diesem Key das Signieren von vertrauenswürdiger Software zu erlauben! Mein ~/.gnupg/pubring.gpg ist 19MB groß und enthält über tausend Keys von Leuten, deren signierte Mail ich zufällig mal in irgendeiner Liste gelesen habe. Würde ich den obigen Vorschlag befolgen und mir gleichzeitig denken: "hey, ich bin schlau, ich mal nichts unnötig als root", dann hätte ich damit den über tausend Leuten ermöglicht, mir als Man-in-the-Middle beliebige Software unterzuschieben. Wie man das richtig macht, ist übrigens auch sehr gut dokumentiert: http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-apt-0.6 J. -- When you put a gun to my head you aren't fooling anyone. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature