Re: Bereinigen der /etc/apt/sources.list
Am Montag, den 20.11.2006, 13:08 +0100 schrieb Jochen Schulz:
> [..] Dabei hat er sie bloß sanft aber deutlich daran erinnert,
> dass es -- egal, welches Betriebssystem man benutzt -- keine gute Idee
> ist, nicht-vertrauenswürdige Software zu installieren.
ACK (auch wenn ich selber ein öffentliches Repository anbiete).
> Worauf ich hinauswill: apt hat deswegen das Keymanagement-Feature
> bekommen, damit ein Nutzer oder Administrator verifizieren kann, dass
> die zu installierende Software aus einer bestimmten, vertrauenswürdigen
> Quelle kommt.
Jein. Eigentlich soll es AFAIK die Integrität des Repositoriums schützen
- woher die Software stammt, wird ja schon viel früher in dem Prozess
geprüft.
> Importiert man einen Schlüssel in den von apt benutzten
> Keyring, dann interpretiert apt das so, dass man allen mit diesem
> Schlüssel signierten Paketen vertraut!
JFTR: Die Pakete sind nicht signiert. Der Ansatz existiert aber auch und
ist im "Securing Debian Manual" IIRC ebenfalls beschrieben. Stattdessen
wird eine Auflistung von SHA1- und MD5-Prüfsummen aller wichtigen
Dateien eines Repositoriums signiert. Und über die damit
"vertrauenswürdigen" Prüfsummen, kann eine Aussage über die Integrität
getroffen werden.
Mit dem Vertrauen _in_ eine Quelle hat das IMO wenig zu tun. Nur wenn du
ihr vertraust, soll dich der Vorgang vor einer möglichen
Kompromittierung des Repositoriums warnen.
MfG Daniel
Reply to: