[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheitshinweise in Aptitude unter Debian 4.0



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo,

Jochen Schulz schrieb:
> Hanns-Georg Krenhuber:
>> 1.) Woher kommt die unterschiedliche Behandlung der Pakete? - Sie
>> stammen letztlich doch aus der selben Quelle! - Ist "`aptitude"' im
>> einen Falle unangemessen vertrauensselig oder im anderen Falle
>> unangemessen misstrauisch?
> 
> Gute Frage. Ich würde eigentlich erwarten, dass der Installer die
> Signaturen genau so prüft, wie aptitude später. Die dafür notwendigen
> Schlüssel müssen dafür natürlich auf dem Installationsmedium sein, aber
> auch davon gehe ich aus. Und da Deine Medien letztlich aus der gleichen
> Quelle stammen, sollten die benötigten Schlüssel auc identisch sein.
> 
> Was ich mir nur vorstellen kann: Du hast jigdo-lite aus  sarge benutzt,
> was noch keine signierten Release-Dateien kennt und deswegen ignoriert.
> Oder jigdo erstellt die Release-Dateien sogar selbst und kann die
> dementsprechend nicht signieren. Das würde dann aber dagegen sprechen,
> dass der Installer die Signaturen verifiziert. Müßte sich jemand zu
> äußern, der sich damit genau auskennt.

ich habe auch mit jigdo-lite aus Sarge eine Multi-Arch Installations-DVD
erstellt.
Zum Upgrade eines Rechners und zur Neuinstallation auf einem weiteren,
habe ich diese DVD mit
apt-cdrom add
zur /etc/apt/sources-list hinzufügen lassen.
Da auf der Multi-Arch DVD nicht alles drauf sein kann, hatte ich noch
einen weiteren Mirror hinzugefügt.
Wenn aptitute während der Installation / des Upgrade die Packete von der
DVD verwendet hätte, hätte dies ja durchaus Zeit gespart.
Mangels Schlüssel hielt aptitute die DVD für nicht vertrauenswürdig und
holte die Pakete über meine nicht ganz so gute DSL-Verbindung...

Leider finde ich im apt-howto keine Information, wie man apt beibringt,
das eine selbsterstellte DVD vertrauenswürdig ist.


Gruß
	Jürgen
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGNHBqYZbcPghIM9IRAif4AKCNkT7P7gK4pXdW8GsS/jE2UylGiQCfY1yi
ho9eGdL65WLvJ33fGHQNxo8=
=wwiD
-----END PGP SIGNATURE-----



Reply to: