Sicherheitshinweise in Aptitude unter Debian 4.0

To: debian-user-german@lists.debian.org
Subject: Sicherheitshinweise in Aptitude unter Debian 4.0
From: Hanns-Georg Krenhuber <a7901948@unet.univie.ac.at>
Date: Wed, 25 Apr 2007 10:48:18 +0200
Message-id: <[🔎] 462F15D2.5040606@unet.univie.ac.at>

Hallo!


Zunaechst: Ich habe diese Mailinglist nicht abonniert. (Ich weiss zwar
nicht, wieso das von Interesse ist (ich benötige keine carbon copies von
allfaelligen Antworten, da ich ja das Archiv der Liste einsehen kann),
ich erwaehne es aber dennoch, weil mich die Gebrauchsanweisung der Liste
dazu verhaelt.)


Ich habe vor einigen Tagen (nachdem ich erfahren habe, dass es
"`stable"' geworden ist) mir Debian 4.0 besorgt und es installiert.

Dabei ging ich folgendermassen vor:

1.) Ich montierte ueber "`loop"'-Geraet bereits vorhandene
DVD-"`iso"'-Dateien von Debian 3.1. Dann lud ich mittels "`jigdo-lite"'
unter Verwendung der montierten "`iso"'-Dateien die DVD-"`iso"'-Dateien
von Debian 4.0.

2.) Aus den erstellten DVD-"`iso"'-Dateien von Debian 4.0 gewann ich
wieder mittels "`jigdo-lite"' eine CD-"`iso"'-Datei Nr. 1 (und zwar jene
mit dem window manager "`xfce"' (falls das von Bedeutung ist)). Diese
CD-"`iso"'-Datei "`brannte"' ich dann auf eine DVD-RAM (d. h., ich
kopierte sie mit Hilfe von "`sdd"', einem hardwarenahen Kopierprogramm
aehnlich "`dd"', auf den Anfang der nicht montierten DVD-RAM (das "`raw
device"'). (Falls es jemand nachmachen will: Vorsicht -
Schreibgeschwindigkeit 26kByte pro Sekunde!)

3.) Die so praeparierte DVD-RAM benuetzte ich dann an Stelle einer
Installations-CD zur Installation des Systems. Dabei installierte
ich kaum Software, die ueber das "`Basissystem"' hinausging.

4.) Als das neue System lief, kopierte ich darauf die am Anfang aus dem
Internet geladenen drei DVD-"`iso"'-Dateien von Debian 4.0. (Diese
Dateien hatte ich auf dem Ursprungssystem mittels "`split"' zerkleinert,
damit sie in die Zwischenlager passten. Auf dem Zielsystem setzte ich
sie mittels "`cat"' wieder zusammen. Dann testete ich sie erfolgreich an
den gleichfalls aus dem Internet geladenen "`md5"'- und
"`sha1"'-Pruefsummen.) Dann montierte ich ueber "`loop"'-Geraet die
DVD-"`iso"'-Dateien und trug die dabei entstandenen Verzeichnisbäume als
einzige Quellen in "`/etc/apt/sources.list"' ein.

Dann startete ich "`aptitude"' und machte es mit den neuen Quellen
bekannt (analog zu "`apt-get update"'). Die dabei neu erscheinenden
Programmpakete (aber nicht die schon bei der Systeminstallation
installierten) trugen den Vermerk "`untrusted"'.

Meine Fragen an Euch:

1.) Woher kommt die unterschiedliche Behandlung der Pakete? - Sie
stammen letztlich doch aus der selben Quelle! - Ist "`aptitude"' im
einen Falle unangemessen vertrauensselig oder im anderen Falle
unangemessen misstrauisch?

2.) Wie soll ich mich nun verhalten? Wie kann ich "`aptitude"' und mich
dazu bringen, Vertrauen in die Pakete zu fassen? - Der Server, von dem
die erwaehnten Pruefsummen kamen, bot zu den Summen auch
(GnuPG-)Signaturen an. Anhand dieser Signaturen koennte man wohl
feststellen, ob die Pruefsummen wirklich von der "`Debian"'-Organisation
kommen. Aus der Authentizitaet der Pruefsummen kann man dann wohl nahezu
zweifelsfrei auf die Authentizitaet jener Dateien schliessen, zu denen
die Summen gehoeren, da es dem Vernehmen nach kaum moeglich ist, zu
einer gegebenen Pruefsumme eine "`passende"' Datei zu erstellen. Nun
bleiben allerdings noch folgende Fragen:

2.1.) Wenn ich den Umgang mit "`GnuPG"' richtig verstanden habe, dann
koennte ich die Pruefsummen mittels der mitgelieferten Signaturen nur
dann authentifizieren, wenn ich den dazu passenden oeffentlichen
Schluessel haette. Kann ich den auf einem Weg bekommen, der (im
Unterschied zum Internet) vertrauenswuerdig ist?

2.2.) Wenn Problem 2.1.) geloest ist und ich mich mittels "`gpg
--verify"' überzeugt habe, wie ueberzeuge ich dann "`aptitude"' (und
ggf. andere Paketverwaltungswerkzeuge, die vielleicht auch in neuen,
misstrauischeren Versionen vorliegen)? - Hier waere ich fuer
detaillierte Anweisungen oder Hinweise, wo ich diese Anweisungen finden
koennte, dankbar.

Ich habe uebrigens schliesslich einige "`untrusted"' Pakete installiert,
weil ich damals noch keine Hoffnung in Euch setzte und daher glaubte,
keine andere Wahl zu haben, und weil das neue System zwar als produktiv-
(und nicht experimental-)System, aber nicht fuer den direkten Kontakt
mit dem Internet vorgesehen ist. - Ist das System jetzt unheilbar
verunreinigt? Sollte ich es neu aufsetzen? - Noch steckt nicht viel
(Konfigurations-)Arbeit darin. (Ueberdies gebe ich mich der Hoffnung
hin, die (LVM-)Partitionierung weiterverwenden zu koennen.)


Nebenbei - um auf das Anfangsthema zurueckzukommen: Sollte ich, bevor
ich an die Liste schreibe, diese abonnieren? Braechte das irgendjemand
irgendeinen Nutzen? Wenn ja, welchen?


Danke fuer Eure Hilfe!

Hannsjoerg Krenhuber

Reply to:

Follow-Ups:
- Re: Sicherheitshinweise in Aptitude unter Debian 4.0
  - From: Matthias Haegele <mhaegele@linuxrocks.dyndns.org>
- Re: Sicherheitshinweise in Aptitude unter Debian 4.0
  - From: Jochen Schulz <ml@well-adjusted.de>
- Re: Sicherheitshinweise in Aptitude unter Debian 4.0
  - From: Guido Heumann <listguido@web.de>

Prev by Date: Re: [OT] Exchange Mailbox nach Maildir konvertieren f. sa-learn?
Next by Date: Re: Datenträger-Symbole auf Gnome-Desktop
Previous by thread: Re: [OT] Exchange Mailbox nach Maildir konvertieren f. sa-learn?
Next by thread: Re: Sicherheitshinweise in Aptitude unter Debian 4.0
Index(es):
- Date
- Thread