Jan Dinger:
> On Mon, 20 Nov 2006 11:55:28 +0100
>
> > Wenn du möglichst viele Pakete haben willst:
> > deb http://debian-multimedia.org stable main
>
> Am besten ist da:
> # echo deb http://www.debian-multimedia.org stable main >> /etc/apt/sources.list
> # gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 1F41B907 && apt-key add /root/.gnupg/pubring.gpg
Nein, auf keine Fall. Ich kann nur davon abraten, den Key so zu
importieren. Erklärung weiter unten.
Wirklich "am besten" ist, wenn man auch weiß, was das bedeutet.
Einleitend dazu sollte man sich am besten das hier durchlesen
(englisch): http://soijabanaani.net/tmp/the_trevino_story
Deutsche Kurzfassung: jemand hat hinter seiner DSL-Leitung ein kleines
apt-Repository für Ubuntu aufgesetzt. Er hat das augenscheinlich
nirgendwo großartig angekündigt und wollte schon aufgrund der schwachen
Leitung keine großen Nutzerzahlen. Außerdem bezeichnet er seine Pakete
als "highly experimental".
Nun hat irgendjemand anders in seinem Blog eine sources.list
veröffentlicht, wo er jedes erdenkliche Repository auflistet, darunter
auch das eben erwähnte. Als dem Betreiber die sprunghaft gesteigenen
Zugriffszahlen aufgefallen sind, hat er sich geärgert, dass so viele
Leute ohne nachzudenken Software aus beliebigen Quellen installieren. Um
das zu demonstrieren hat er mit einem seiner Pakete das
Standardhintergrundbild geändert:
<http://static.flickr.com/122/296804891_23fbcf65b3.jpg?v=0>.
Daraufhin wurde er von einigen Leuten aufs Übelste beschimpft (siehe
erster Link). Dabei hat er sie bloß sanft aber deutlich daran erinnert,
dass es -- egal, welches Betriebssystem man benutzt -- keine gute Idee
ist, nicht-vertrauenswürdige Software zu installieren.
Worauf ich hinauswill: apt hat deswegen das Keymanagement-Feature
bekommen, damit ein Nutzer oder Administrator verifizieren kann, dass
die zu installierende Software aus einer bestimmten, vertrauenswürdigen
Quelle kommt. Importiert man einen Schlüssel in den von apt benutzten
Keyring, dann interpretiert apt das so, dass man allen mit diesem
Schlüssel signierten Paketen vertraut!
Die Meldung, dass apt wegen eines fehlenden Keys den Ursprung nicht
verifizieren kann, *ist keine Fehlermeldung.* Vielmehr ist es eine
Warnung davor, Software aus einer Quelle zu installieren, der man nicht
traut. *Wenn* man der Quelle traut, dann teilt man das apt durch das
Importieren genau dieses Schlüssels mit. Ich halte es für fahrlässig,
Nutzern das "magische Kommando" zu geben, damit die Fehlermeldung
weggeht, ohne sie darüber aufzuklären, was das eigentlich bedeutet.
Das Importieren des kompletten pubring.gpg (wie oben vorgeschlagen) ist
übrigens ein katastrophaler Vorschlag. In diesem Fall mag das nicht so
dramatisch sein, weil man als root (hoffentlich...) nicht ständig gpg
benutzt, aber dennoch: einen Key in seinem Keyring vorzuhalten, ist
etwas völlig anderes, als diesem Key das Signieren von
vertrauenswürdiger Software zu erlauben!
Mein ~/.gnupg/pubring.gpg ist 19MB groß und enthält über tausend Keys
von Leuten, deren signierte Mail ich zufällig mal in irgendeiner Liste
gelesen habe. Würde ich den obigen Vorschlag befolgen und mir
gleichzeitig denken: "hey, ich bin schlau, ich mal nichts unnötig als
root", dann hätte ich damit den über tausend Leuten ermöglicht, mir als
Man-in-the-Middle beliebige Software unterzuschieben.
Wie man das richtig macht, ist übrigens auch sehr gut dokumentiert:
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-apt-0.6
J.
--
When you put a gun to my head you aren't fooling anyone.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature