[linux-l] apt-get usw.
Norm@nSteinbach
norm at nsteinbach.de
Do Jun 7 09:44:46 CEST 2007
Volker Grabsch wrote:
>> Ist es möglich, das apt-System so zu manipulieren dass es bei gewissen
>> repos immer denkt, es hätte die aktuellste Version und erst garnicht
>> nach security-updates sucht?
> Jein. Eine direkte Manipulation ist gar nicht nötig.
> Ein APT-Repository braucht nur eine viel, viel neuere Version von einem
> Paket anbieten. Zum Beispiel absichtlich die Versionsnummer auf 100.0
> hochzählen. So "neue" Security-Updates gibt's noch nicht.
Das würde ja bedeuten, dass der Apt-Server kompromittiert sein müsste,
um so eine Versionsnr. auf den Client (meinen Rechner in dem Fall) zu
übertragen. Das halte ich für unwahrscheinlich.
> Eine Bestätigung deiner Befürchtungen ist es aber nicht, denn mit
> *jedem* Debian-Paket, das du dir installierst, kann dir jemand ne
> andere Shell oder sonstwas unterschieben. Mit jedem Debian-Paket,
> das du installierst, und daher auch mit Eintrag in die
> /etc/apt/sources.list musst du der Herkunft der Pakete vertrauen.
Moment - bisher habe ich immer gehört, die Paketverwaltung von Debian
wäre so sicher, weil signiert und so...Daher müsste der Server, der in
der sources.list steht, bereits kompromittierte Pakete ausliefern, und
das würde wohl schnell bemerkt werden.
Ich vermute eher eine Veränderung von apt auf meinem PC, so dass es eben
immer denkt: "Hab ich schon die neueste Version" und den
repository-Server dafür gar nicht kontaktiert. So sieht zumindest die
Bildschirmausgabe bei apt-get update aus.
Ob mir etwas "untergeschoben" wurde und was, kann ich natürlich nicht
beantworten, dafür reicht es ja im Grunde schon, die falsche Website zu
besuchen.
> Bist du zu diesem Vertrauen nicht bereit, verzichte auf die Pakete.
Klar. Allerdings habe ich keine sonderlich exotischen repositories in
meiner sources.list drinstehen, außer den standard "main" und "security"
Servern eigentlich nur debian-unofficial und debian-multimedia. Wie
können die kompromittierte Pakete ausliefern, ohne dass es bemerkt
werden würde?
>> Daher: Gibt es eine Möglichkeit, apt komplett ohne vorherige Daten
>> (außer sources.list) neu zu initialisieren, so dass es grundsätzlich
>> erst nachschaut bevor es irgendwelche Listeneinträge (erst recht wenn
>> sie auch noch das Wort "security" enthalten!!) einfach mal so eben
>> ignoriert?
> Vielleicht, aber das ist viel zu aufwändig, wenn man dem User einfach
> nur was unterschieben will.
Ähm, nein, darum geht es nicht, ich möchte gerne mein lokales apt dazu
bringen, zu vergessen welche Repositories es ignorieren soll damit es
sich von allen ein frisches update holt und nicht, wie schon seit Wochen
oder Monaten, immer wieder dieselben ignoriert. Oder wird die
"IGN"-Meldung bzw. die Tatsache dass es ignoriert wird, auch vom
Repo-Server übertragen und das lokale apt hat gar nichts zu entscheiden,
was es ignoriert und was nicht?
Danke & viele Grüße,
Norm at n
Mehr Informationen über die Mailingliste linux-l