Re: Linux und Malware 2006 Debian clamav installation

To: debian-user-german@lists.debian.org
Subject: Re: Linux und Malware 2006 Debian clamav installation
From: Markus Schulz <msc@antzsystem.de>
Date: Wed, 16 May 2007 10:42:40 +0200
Message-id: <[🔎] 200705161042.42334.msc@antzsystem.de>
In-reply-to: <[🔎] 464ABCD4.2070201@linuxrocks.dyndns.org>
References: <[🔎] 20070516042805.GB1998@server.homelinux.net> <[🔎] 200705160948.49654@Mail-Followup-To> <[🔎] 464ABCD4.2070201@linuxrocks.dyndns.org>

Am Mittwoch, 16. Mai 2007 10:12 schrieb Matthias Haegele:
> Markus Schulz schrieb:
> > Am Mittwoch, 16. Mai 2007 schrieb dirk.finkeldey:
> >> Mark Walter schrieb:
> >>> Hi,
> >>>
> >>> habe gerade den folgenden Artikel geschrieben:
> >>>
> >>> http://knutshome.de/~antharist/articles/clamav_debian_sarge.de.ht
> >>>ml
> >>>
> >>> In der Regel werdet Ihr ausser in E-Mailanhaengen keine Viren
> >>> finden, solange man nur zertifizierte Downloadquellen nutzt.
> >>> (z.B. Debian Server).
> >>
> >> Auch die Officiellen Debian Spiegel sind schon gehackt worden,
> >> wenn ich mich nicht irre in 2006.
> >
> > So richtig vertraue ich der Debian-Paket-Signierung auch nicht über
> > den Weg. Die grundlegenden Methoden sind zwar sicher, aber die
> > Anwendung ist mir nicht klar.
>
> http://wiki.debian.org/SecureApt

da steht nur die Software-Technische Umsetzung erklärt. Die ist mir 
bereits bekannt. Ich hatte ein paar spezifischere Fragen.
Das einzige was näherungsweise in diese Richtung dort geht ist:

| Does Secure APT cover the possibility that the archive machine itself 
| is broken into? What is there to stop someone "inserting" a rogue 
| version of a Debian package and simply regenerating the Packages and
| Release/Release.gpg files? I strongly suspect this has been 
| considered,  but this document does not mention it. Perhaps a link to 
| appropriate documentation, if such exists? --JohnZaitseff    

| Yes, if this happens we can revoke the archive key, and introduce a
| new key for the new install of ftp-master and rollback of the archive
| to its last known good state that we'd have to do after such an 
| incident. --JoeyHess   

Und genau das macht mir ein wenig Sorgen. Die "rogue package insertion" 
kann ja unentdeckt bleiben, dann wird das Paket in der Packages Datei 
mit eingebettet (Prozess läuft vermutlich automatisiert) und 
anschließend die Release auch signiert. 
Daher wollte ich etwas mehr über den konkreten Ablauf erfahren. Wie 
kommen die Pakete des Repos dorthin, wer generiert und kontrolliert den 
Inhalt der Packages Datei und signiert sie?
Die Pakete des Zweiges Main werden von den DDs als signierte 
Source-Pakete angeliefert (werden nicht signierte akzeptiert? wie 
verhält sich das mit non-Maintainer Uploads?). 
Diese werden dann von den Build-Maschinen für die entsprechenden 
Architekturen gebaut. Aber was genau passiert danach mit den 
Binary-Paketen? Werden diese von den Build-Maschinen auf 
eine "Signierungs-Maschine" verschoben? Dort wird die Packages/Release 
erzeugt (voll automatisiert?) und signiert (automatisiert?) und dies 
ist die Quelle für die FTPs?

-- 
Markus Schulz

Reply to:

Follow-Ups:
- Re: Linux und Malware 2006 Debian clamav installation
  - From: Andreas Pakulat <apaku@gmx.de>

References:
- Linux und Malware 2006 Debian clamav installation
  - From: Mark-Walter@t-online.de (Mark Walter)
- Re: Linux und Malware 2006 Debian clamav installation
  - From: Markus Schulz <msc@antzsystem.de>
- Re: Linux und Malware 2006 Debian clamav installation
  - From: Matthias Haegele <mhaegele@linuxrocks.dyndns.org>

Prev by Date: Re: Linux und Malware 2006 Debian clamav installation
Next by Date: Re: Acer Travelmate 291 lci speedstep und suspend to disk
Previous by thread: Re: Linux und Malware 2006 Debian clamav installation
Next by thread: Re: Linux und Malware 2006 Debian clamav installation
Index(es):
- Date
- Thread