[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bereinigen der /etc/apt/sources.list

On Mon, 20 Nov 2006 13:08:45 +0100
Jochen Schulz <ml@well-adjusted.de> wrote:

> Jan Dinger:
> > On Mon, 20 Nov 2006 11:55:28 +0100
> > 
> > > Wenn du möglichst viele Pakete haben willst:
> > > deb http://debian-multimedia.org stable main
> > 
> > Am besten ist da:
> > # echo deb http://www.debian-multimedia.org stable main >> /etc/apt/sources.list
> > # gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 1F41B907 && apt-key add /root/.gnupg/pubring.gpg
> 
> Nein, auf keine Fall. Ich kann nur davon abraten, den Key so zu
> importieren. Erklärung weiter unten.
> 
> Wirklich "am besten" ist, wenn man auch weiß, was das bedeutet.
> Einleitend dazu sollte man sich am besten das hier durchlesen
> (englisch): http://soijabanaani.net/tmp/the_trevino_story
> 
> Deutsche Kurzfassung: jemand hat hinter seiner DSL-Leitung ein kleines
> apt-Repository für Ubuntu aufgesetzt. Er hat das augenscheinlich
> nirgendwo großartig angekündigt und wollte schon aufgrund der schwachen
> Leitung keine großen Nutzerzahlen. Außerdem bezeichnet er seine Pakete
> als "highly experimental".
> 
> Nun hat irgendjemand anders in seinem Blog eine sources.list
> veröffentlicht, wo er jedes erdenkliche Repository auflistet, darunter
> auch das eben erwähnte. Als dem Betreiber die sprunghaft gesteigenen
> Zugriffszahlen aufgefallen sind, hat er sich geärgert, dass so viele
> Leute ohne nachzudenken Software aus beliebigen Quellen installieren. Um
> das zu demonstrieren hat er mit einem seiner Pakete das
> Standardhintergrundbild geändert:
> <http://static.flickr.com/122/296804891_23fbcf65b3.jpg?v=0>.
> 
> Daraufhin wurde er von einigen Leuten aufs Übelste beschimpft (siehe
> erster Link). Dabei hat er sie bloß sanft aber deutlich daran erinnert,
> dass es -- egal, welches Betriebssystem man benutzt -- keine gute Idee
> ist, nicht-vertrauenswürdige Software zu installieren.
> 
> Worauf ich hinauswill: apt hat deswegen das Keymanagement-Feature
> bekommen, damit ein Nutzer oder Administrator verifizieren kann, dass
> die zu installierende Software aus einer bestimmten, vertrauenswürdigen
> Quelle kommt.  Importiert man einen Schlüssel in den von apt benutzten
> Keyring, dann interpretiert apt das so, dass man allen mit diesem
> Schlüssel signierten Paketen vertraut!
> 
> Die Meldung, dass apt wegen eines fehlenden Keys den Ursprung nicht
> verifizieren kann, *ist keine Fehlermeldung.* Vielmehr ist es eine
> Warnung davor, Software aus einer Quelle zu installieren, der man nicht
> traut. *Wenn* man der Quelle traut, dann teilt man das apt durch das
> Importieren genau dieses Schlüssels mit. Ich halte es für fahrlässig,
> Nutzern das "magische Kommando" zu geben, damit die Fehlermeldung
> weggeht, ohne sie darüber aufzuklären, was das eigentlich bedeutet.
> 
> Das Importieren des kompletten pubring.gpg (wie oben vorgeschlagen) ist
> übrigens ein katastrophaler Vorschlag. In diesem Fall mag das nicht so
> dramatisch sein, weil man als root (hoffentlich...) nicht ständig gpg
> benutzt, aber dennoch: einen Key in seinem Keyring vorzuhalten, ist
> etwas völlig anderes, als diesem Key das Signieren von
> vertrauenswürdiger Software zu erlauben!
> 
> Mein ~/.gnupg/pubring.gpg ist 19MB groß und enthält über tausend Keys
> von Leuten, deren signierte Mail ich zufällig mal in irgendeiner Liste
> gelesen habe. Würde ich den obigen Vorschlag befolgen und mir
> gleichzeitig denken: "hey, ich bin schlau, ich mal nichts unnötig als
> root", dann hätte ich damit den über tausend Leuten ermöglicht, mir als
> Man-in-the-Middle beliebige Software unterzuschieben.
> 
> Wie man das richtig macht, ist übrigens auch sehr gut dokumentiert:
> http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-apt-0.6
> 

Ok, dann habe ich da wohl einiges missverstanden, werde mir das ganze Thema noch einmal genauer und intensiver anschauen, danke für die aufschlussreiche Info.
Reply to: