« edellinen seuraava »
Sivuja: [1]   Siirry alas

Kirjoittaja Aihe: Asennetun paketin sert info  (Luettu 1415 kertaa)

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Asennetun paketin sert info
« : 22.11.13 - klo:14.30 »
Siis kaikkien asennetuissa paketeissa pitäisi jonkin eli kehtittäjän allekirjoitus, eli paketti on allekirjoitettu jonkun gpg avaimella.

Saadaanko tätä tietoa saamaan selville jo asennetuista paketeista? Eli millä avaimella ko paketti on allekirjoitettu?
Kirjattu
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

nm

  • Käyttäjä
  • Viestejä: 16430
    • Profiili
Vs: Asennetun paketin sert info
« Vastaus #1 : 22.11.13 - klo:15.10 »
Binääripaketeissa ei tietääkseni ole yleensä allekirjoituksia. Kokeilin juuri dpkg-sig-ohjelmalla, eikä se löytänyt allekirjoituksia ainakaan Ubuntun virallisista paketeista. Lähdekoodipaketit sen sijaan allekirjoitetaan lähes poikkeuksetta. Launchpad ja luultavasti muutkin automaattiset käännösympäristöt eivät hyväksy allekirjoittamatonta lähdekoodia.

Debianissa ja Ubuntussa turvallisuutta ylläpidetään varmentamalla pakettilähteet ja tarkistamalla, että kaikkien ladattujen pakettien tarkistussummat täsmäävät pakettilähteiden ilmoittamiin summiin.

https://wiki.debian.org/SecureApt
Kirjattu

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: Asennetun paketin sert info
« Vastaus #2 : 22.11.13 - klo:20.34 »
 >:(

Mutta tämä koskee vain Ubuntun palvelimia,  ja jos käytetään jotain muuta palvelinta mistä ladataan paketteja niin ne voi mitä tahansa.

Kuten täällä ...

http://www.offensive-security.com/metasploit-unleashed/Binary_Linux_Trojan

Not good ... Pitänee tutkia lisää, mitä Trusted Software Providerit oikein ovat kun niitä on listattu ?
« Viimeksi muokattu: 22.11.13 - klo:20.51 kirjoittanut syrtek66 »
Kirjattu
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

nm

  • Käyttäjä
  • Viestejä: 16430
    • Profiili
Vs: Asennetun paketin sert info
« Vastaus #3 : 23.11.13 - klo:11.20 »
Lainaus käyttäjältä: syrtek66 - 22.11.13 - klo:20.34
Mutta tämä koskee vain Ubuntun palvelimia,  ja jos käytetään jotain muuta palvelinta mistä ladataan paketteja niin ne voi mitä tahansa.

Niin. Ei siis pidä käyttää mitä tahansa pakettilähteitä tai latailla itse paketteja epämääräisiltä sivuilta. Tämä on kaiken tietoturvallisuuden perussääntö numero 1. Jos joku luotettavaksi katsottava taho haluaa tarjota paketteja Debianille tai Ubuntulle, paketit voi hyväksyttää jakoon joko virallisten lähteiden kautta tai paketeille voi tehdä oman repositorion, joka on allekirjoitettu ja varmennettu. Käyttäjät sitten harkitsevat, luottavatko tähän repositorioon vai eivät.

Yksittäiset binääripaketit on mahdollista allekirjoittaa, mutta Debianin ja Ubuntun tapauksessa se olisi jokseenkin turhaa, koska repositoriot on varmennettu. Ehkä joku graafinen pakettienhallintaohjelma mahdollistaa yksittäisen deb-paketin allekirjoituksen tarkistamisen ennen asennusta? Veikkaan kuitenkin, että aika harva käyttäjä vaivautuisi tekemään sitä. Yritysmaailmassa taas käytetään vain virallisia repositorioita tai muita luotettavia lähteitä.
Kirjattu
Sivuja: [1]   Siirry ylös
« edellinen seuraava »