[linux-l] apt-get usw.

[Norm@nSteinbach]

Volker Grabsch wrote:
>> Ist es möglich, das apt-System so zu manipulieren dass es bei gewissen 
>> repos immer denkt, es hätte die aktuellste Version und erst garnicht 
>> nach security-updates sucht?
> Jein. Eine direkte Manipulation ist gar nicht nötig.
> Ein APT-Repository braucht nur eine viel, viel neuere Version von einem
> Paket anbieten. Zum Beispiel absichtlich die Versionsnummer auf 100.0
> hochzählen. So "neue" Security-Updates gibt's noch nicht.
Das würde ja bedeuten, dass der Apt-Server kompromittiert sein müsste, 
um so eine Versionsnr. auf den Client (meinen Rechner in dem Fall) zu 
übertragen. Das halte ich für unwahrscheinlich.

> Eine Bestätigung deiner Befürchtungen ist es aber nicht, denn mit
> *jedem* Debian-Paket, das du dir installierst, kann dir jemand ne
> andere Shell oder sonstwas unterschieben. Mit jedem Debian-Paket,
> das du installierst, und daher auch mit Eintrag in die
> /etc/apt/sources.list musst du der Herkunft der Pakete vertrauen.
Moment - bisher habe ich immer gehört, die Paketverwaltung von Debian 
wäre so sicher, weil signiert und so...Daher müsste der Server, der in 
der sources.list steht, bereits kompromittierte Pakete ausliefern, und 
das würde wohl schnell bemerkt werden.
Ich vermute eher eine Veränderung von apt auf meinem PC, so dass es eben 
immer denkt: "Hab ich schon die neueste Version" und den 
repository-Server dafür gar nicht kontaktiert. So sieht zumindest die 
Bildschirmausgabe bei apt-get update aus.
Ob mir etwas "untergeschoben" wurde und was, kann ich natürlich nicht 
beantworten, dafür reicht es ja im Grunde schon, die falsche Website zu 
besuchen.

> Bist du zu diesem Vertrauen nicht bereit, verzichte auf die Pakete.
Klar. Allerdings habe ich keine sonderlich exotischen repositories in 
meiner sources.list drinstehen, außer den standard "main" und "security" 
Servern eigentlich nur debian-unofficial und debian-multimedia. Wie 
können die kompromittierte Pakete ausliefern, ohne dass es bemerkt 
werden würde?

>> Daher: Gibt es eine Möglichkeit, apt komplett ohne vorherige Daten 
>> (außer sources.list) neu zu initialisieren, so dass es grundsätzlich 
>> erst nachschaut bevor es irgendwelche Listeneinträge (erst recht wenn 
>> sie auch noch das Wort "security" enthalten!!) einfach mal so eben 
>> ignoriert?
> Vielleicht, aber das ist viel zu aufwändig, wenn man dem User einfach
> nur was unterschieben will.
Ähm, nein, darum geht es nicht, ich möchte gerne mein lokales apt dazu 
bringen, zu vergessen welche Repositories es ignorieren soll damit es 
sich von allen ein frisches update holt und nicht, wie schon seit Wochen 
oder Monaten, immer wieder dieselben ignoriert. Oder wird die 
"IGN"-Meldung bzw. die Tatsache dass es ignoriert wird, auch vom 
Repo-Server übertragen und das lokale apt hat gar nichts zu entscheiden, 
was es ignoriert und was nicht?

Danke & viele Grüße,

Norm at n