linux-l: Wer hat SSH richtig verstanden...,

Steffen Dettmer steffen at dett.de
Fr Sep 14 21:18:59 CEST 2001


* Frank Reker wrote on Fri, Sep 14, 2001 at 14:46 +0200:
> Am Fri 14. Sep 2001 11:15 +0200 schrieb Steffen Dettmer:
> > > Richtig, aber wer benutzt schon die vorkompilierte Version
> > > der Distro??? 
> >
> > Ich.
> >
> > > Alle Sicherheitsrelevanten Sachen (wie gpg, ssh, ...)
> > > sollte man stets neu kompilieren, 

> Naja, der Source wird von vielen gelesen, eine Hintertuer wuerde
> da ziemlich schnell auffallen. Die Gretchenfrage ist, ob man die
> orginalsourcen hat, oder eine modifizierte Version. Von daher
> muss man grosse Sorgfalt walten lassen, von wo man sich den Kram
> runterlaedt, stets pgp-unterschrift ueberpruefen, und den key
> nach moeglichkeit von mehreren Stellen besorgen und gegenchecken.

Warum kann das nicht ein Distri-Key sein? Gut, leider weiß man
nicht, wie sauber die Leute arbeiten, und wie zuverlässig die so
sein, klar.

> Bei einer vorkompilierten Version musst du erstens dem Distributor
> 100%-ig vertrauen koennen, und zweitens wissen, dass auch dieser 
> die gleiche Sorgfalt walten laesst. 

Yep, stimmt schon. Gleiches gilt dann aber für alle binaries.
Also "make world"? Aber selbst bei Binär-Distributoren wie
MicroSoft kommen solche Schweinereien raus - wenn die Source da
sind, kann man das noch einfacher vergleichen. Ich glaub, kein
Distri würde das Risiko eingehen - aber wie gesagt, ich glaube :) 

> Bzw. dieser muss sogar noch eine *sehr* viel hoehere Sorgfalt
> walten lassen, da es fuer Cracker sehr viel lukrativer ist
> einem Distributor wie SuSE ne modifizierte Version
> unterzuschieben, da diese dann auf sehr vielen Rechnern landet.

Stimmt schon, vor allem, weil man nicht weiß, ob und wie RedHat
und SuSEs compiler farm aussehen. Sind das wirklich isolierte
Umgebungen? Gibt's da vielleicht doch ein Laptop mit ISDN Karte
im LAN? Usw. 

> Und gerade bei ssh, da gefaehrdest du nich nur die Sicherheit
> deines eigenen Rechners, sondern auch diejenige derer, auf 
> denen du dich einlogst, bzw. derer die sich bei dir einloggen.
> Von daher ist hier doppelte und dreifache Vorsicht geboten.

oki, akzeptiert. Halte ich persönlich aber dennoch nicht für
grundsätzlich erforderlich. 

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.



Mehr Informationen über die Mailingliste linux-l