Mitä uskallat asentaa koneeseesi?

[LittleLion]

Olen huomannut täällä foorumilla sellaisen hälyttävän piirteen, että jos joku tarvitsee Ubuntuunsa
paketin mitä ei repositiosta löydy heittävät ihmiset rohkeasti vaan jonkun linkin josta löytyy
deb-paketti kyseisestä sovelluksesta.(myönnän toki, että olen itsekkin siihen sortunut) Tietämättä
sen kummemmin kuka paketin on tehnyt ja voiko kyseiseen henkilöön luottaa? Olen tässä tutustunut
vähän syvemmin deb-pakettien toimintaan ja huomannut, että niihin voi sisällyttää melkein mitä tahansa.


Joten nytpä kysynkin teiltä. Uskallatko asentaa tämän paketin koneellesi:
http://koti.mbnet.fi/littleli/asenna_jos_uskallat-1.0+debian1.deb

Niin nyt kun otin asian puheeksi niin monikin alkoi varmasti epäröimään. Vai olenko väärässä?
Ja epäröintiä varmastikkin lisää se, että paketin nimi on: asenna_jos_uskallat-1.0+debian1.deb


No kuinka sitten varmistua siitä mitä uskaltaa asentaa ja mitä ei? 100%:n varmahan asiata ei voi
koskaan olla, mutta yleensä tunnetut julkaisijat, jotka antavat itsestään rohkeasti tietoa ovat
mielestäni ylempänä luotettavien listalla.


Jottei ketään jäisi häiritsemään tuo tekemäni paketti, että uskaltaako sitä asentaa vai ei.
Ja mitä tapahtuu vai tapahtuuko mitään, jos sen asentaa niin kerrompa pari juttua. Kun lataat tuon
tai jonkun muun paketin koneellesi voit tutkia mitä sen tekijä on kertonut siitä komentamalla:

Koodia: [Valitse]

dpkg -I paketin_nimi.deb
Ja halutessasi voi purkaa paketin näin:

Koodia: [Valitse]

mkdir purettu
dpkg -x paketin_nimi.deb purettu/
dpkg --control paketin_nimi.deb purettu/DEBIANJa tutkia sitten tuota purettu kansion sisältöä. Tuolla lailla saat selon myös tuosta minun tekemästäni
paketista.


Tarkoituksenani ei ole pelotella ketään niin, ettei kukaan uskaltaisi enää mitään koneelleen asentaa
vaan vain muistuttaa ihmisille, että kannattaa miettiä sitä omaa tietoturvaa myös tässä asiassa.

[_Pete_]

Olen huomannut täällä foorumilla sellaisen hälyttävän piirteen, että jos joku tarvitsee Ubuntuunsa
paketin mitä ei repositiosta löydy heittävät ihmiset rohkeasti vaan jonkun linkin josta löytyy
deb-paketti kyseisestä sovelluksesta.(myönnän toki, että olen itsekkin siihen sortunut) Tietämättä
sen kummemmin kuka paketin on tehnyt ja voiko kyseiseen henkilöön luottaa? Olen tässä tutustunut
vähän syvemmin deb-pakettien toimintaan ja huomannut, että niihin voi sisällyttää melkein mitä tahansa.


Joten nytpä kysynkin teiltä. Uskallatko asentaa tämän paketin koneellesi:
http://koti.mbnet.fi/littleli/asenna_jos_uskallat-1.0+debian1.deb

Niin nyt kun otin asian puheeksi niin monikin alkoi varmasti epäröimään. Vai olenko väärässä?
Ja epäröintiä varmastikkin lisää se, että paketin nimi on: asenna_jos_uskallat-1.0+debian1.deb


No kuinka sitten varmistua siitä mitä uskaltaa asentaa ja mitä ei? 100%:n varmahan asiata ei voi
koskaan olla, mutta yleensä tunnetut julkaisijat, jotka antavat itsestään rohkeasti tietoa ovat
mielestäni ylempänä luotettavien listalla.


Jottei ketään jäisi häiritsemään tuo tekemäni paketti, että uskaltaako sitä asentaa vai ei.
Ja mitä tapahtuu vai tapahtuuko mitään, jos sen asentaa niin kerrompa pari juttua. Kun lataat tuon
tai jonkun muun paketin koneellesi voit tutkia mitä sen tekijä on kertonut siitä komentamalla:

Koodia: [Valitse]

dpkg -I paketin_nimi.deb
Ja halutessasi voi purkaa paketin näin:

Koodia: [Valitse]

mkdir purettu
dpkg -x paketin_nimi.deb purettu/
dpkg --control paketin_nimi.deb purettu/DEBIANJa tutkia sitten tuota purettu kansion sisältöä. Tuolla lailla saat selon myös tuosta minun tekemästäni
paketista.


Tarkoituksenani ei ole pelotella ketään niin, ettei kukaan uskaltaisi enää mitään koneelleen asentaa
vaan vain muistuttaa ihmisille, että kannattaa miettiä sitä omaa tietoturvaa myös tässä asiassa.

Asiaan littyy myös epämääräisten repojen lisääminen sources.list:n. Sinne kun eksyy joku väärä source niin joka
pahimmassa tapauksessa seuraavan updeitin jälkeen kone on rootkitattu tms.

[LittleLion]

Asiaan littyy myös epämääräisten repojen lisääminen sources.list:n. Sinne kun eksyy joku väärä source niin joka
pahimmassa tapauksessa seuraavan updeitin jälkeen kone on rootkitattu tms.

Totta. Se unohtui mainita tuosta. Kiitos lisäyksestä.

Pahin on vielä, että itse lisäät kyseisen lähteen luotettujen listaan, jolloin apt-get ei edes varoita, että lähde saattaa sisältää
haitallisia paketteja.

[janne]

Olen huomannut täällä foorumilla sellaisen hälyttävän piirteen, että jos joku tarvitsee Ubuntuunsa
paketin mitä ei repositiosta löydy heittävät ihmiset rohkeasti vaan jonkun linkin josta löytyy
deb-paketti kyseisestä sovelluksesta.

jep. samaahan se on winkkarissakin ja sieltä se mahdollisesti tuleekin. en osaa kyllä varmuudella sanoa.

Tietämättä sen kummemmin kuka paketin on tehnyt ja voiko kyseiseen henkilöön luottaa?

jep, siinä on taas syksi syy suosia sieltä virallisesta repositorystä löytyviä paketteja ja mahdollisesti viralisesta backportsista. sen jälkeen luotettavuudessa tulevat tietysti softan kehittäjä ja softan oma nettisivu. tosin noissakaan ei ole missään takeita, ettikö joku crakkeri olisi murtautunut pallvelimelle ja korvannut paketteja omillaan (no ok, tarkistussummat kyllä hälyyttävät samoin kuin allekirjoitukset, mutta nekin voi väärentää). jostain tosi hämärästä lähteestä asennetut paketit ovat kyllä varmasti tietoturvariski.

Olen tässä tutustunut vähän syvemmin deb-pakettien toimintaan ja huomannut, että niihin voi sisällyttää melkein mitä tahansa.

juu.

Joten nytpä kysynkin teiltä. Uskallatko asentaa tämän paketin koneellesi:
http://koti.mbnet.fi/littleli/asenna_jos_uskallat-1.0+debian1.deb

uskallan, mutta minä tarkistinkin mitä siellä on sisällä

Niin nyt kun otin asian puheeksi niin monikin alkoi varmasti epäröimään. Vai olenko väärässä?
Ja epäröintiä varmastikkin lisää se, että paketin nimi on: asenna_jos_uskallat-1.0+debian1.deb

epäilyttävän paketin voi tarkistaa jos tietää miten se toimii. siitä se helposti listattua tiedostot joita se asentaisi, paketinhallitna ei anna sen korvata tiedostoja jotka ovat tulleet toisesta paketista ja asennuksen ohjaamiseen ja konffaamisessn tarkoitetut ohjeet ovat tekstitiedostoina (sikäli kun osaa niitä tulkata).

No kuinka sitten varmistua siitä mitä uskaltaa asentaa ja mitä ei? 100%:n varmahan asiata ei voi
koskaan olla, mutta yleensä tunnetut julkaisijat, jotka antavat itsestään rohkeasti tietoa ovat
mielestäni ylempänä luotettavien listalla.

juu. tuon luottamuksen määräytymistä omalta kohdaltani selvitinkin jo tuossa aikaisemmin.

Ja halutessasi voi purkaa paketin näin:

Koodia: [Valitse]

mkdir purettu
dpkg -x paketin_nimi.deb purettu/
dpkg --control paketin_nimi.deb purettu/DEBIANJa tutkia sitten tuota purettu kansion sisältöä. Tuolla lailla saat selon myös tuosta minun tekemästäni
paketista.

juu, ja laiskoilta se onnistuu jopa file-rollerilla
tosin, noiden kontorlliscriptien ymmärtämine vaatii hitusen tietämystä järjestelmästä, eikä siis onnistu ihan kaikilta. tosin tämän paketin kohdalla se onnistuu, mutta ei välttämättä aina.

Tarkoituksenani ei ole pelotella ketään niin, ettei kukaan uskaltaisi enää mitään koneelleen asentaa
vaan vain muistuttaa ihmisille, että kannattaa miettiä sitä omaa tietoturvaa myös tässä asiassa.

ihan hyvä pointti tässä kyllä oli, ei siinä mitään.

[AD/HD]

Olen huomannut täällä foorumilla sellaisen hälyttävän piirteen, että jos joku tarvitsee Ubuntuunsa
paketin mitä ei repositiosta löydy heittävät ihmiset rohkeasti vaan jonkun linkin josta löytyy
deb-paketti kyseisestä sovelluksesta.(myönnän toki, että olen itsekkin siihen sortunut) Tietämättä
sen kummemmin kuka paketin on tehnyt ja voiko kyseiseen henkilöön luottaa? Olen tässä tutustunut
vähän syvemmin deb-pakettien toimintaan ja huomannut, että niihin voi sisällyttää melkein mitä tahansa.


Joten nytpä kysynkin teiltä. Uskallatko asentaa tämän paketin koneellesi:
http://koti.mbnet.fi/littleli/asenna_jos_uskallat-1.0+debian1.deb

Niin nyt kun otin asian puheeksi niin monikin alkoi varmasti epäröimään. Vai olenko väärässä?
Ja epäröintiä varmastikkin lisää se, että paketin nimi on: asenna_jos_uskallat-1.0+debian1.deb


No kuinka sitten varmistua siitä mitä uskaltaa asentaa ja mitä ei? 100%:n varmahan asiata ei voi
koskaan olla, mutta yleensä tunnetut julkaisijat, jotka antavat itsestään rohkeasti tietoa ovat
mielestäni ylempänä luotettavien listalla.


Jottei ketään jäisi häiritsemään tuo tekemäni paketti, että uskaltaako sitä asentaa vai ei.
Ja mitä tapahtuu vai tapahtuuko mitään, jos sen asentaa niin kerrompa pari juttua. Kun lataat tuon
tai jonkun muun paketin koneellesi voit tutkia mitä sen tekijä on kertonut siitä komentamalla:

Koodia: [Valitse]

dpkg -I paketin_nimi.deb
Ja halutessasi voi purkaa paketin näin:

Koodia: [Valitse]

mkdir purettu
dpkg -x paketin_nimi.deb purettu/
dpkg --control paketin_nimi.deb purettu/DEBIANJa tutkia sitten tuota purettu kansion sisältöä. Tuolla lailla saat selon myös tuosta minun tekemästäni
paketista.


Tarkoituksenani ei ole pelotella ketään niin, ettei kukaan uskaltaisi enää mitään koneelleen asentaa
vaan vain muistuttaa ihmisille, että kannattaa miettiä sitä omaa tietoturvaa myös tässä asiassa.

Voihan tuon skannata pöpöistä ennen ku alkaa asentelemaan

[LittleLion]

Voihan tuon skannata pöpöistä ennen ku alkaa asentelemaan

Millä ohjelmalla? Toki jos paketti sisältää takaportteja tai sen sellaisia niin varmastikkin joku virustorjunta ne tunnistaa, mutta tunnistaako joku
ohjelma muka tuota minun laittamaani "huijausta".

[jjannej]

Saan tammikuus muutenkin uuden koneen, joten pistin asentumaan. 

Ei kai täällä ole mitään tuhoavaa asiaa? En jaksaisi odottaa 3 kuukautta et saan uuden koneen... 

[Sahtor]

Koodia: [Valitse]

/etc/apt/sources.list.d$ ls *.list
ckorn.list    google.list            miro.list     springproject.list  virtualbox.list
dropbox.list  microblog-purple.list  playdeb.list  ufoai.list          winehq.list

ckorn on joku getdebin admini. En tunne henk koht.

Kaupallisten yhtiöiden deb paketteja tulee asenneltua suht nopeasti. En ole vielä kertaakaan asentanut yksityisen henkilön blogista löytämää tarpeellista ohjelmaa.

[jjannej]

Mul o ollu nyt pari tuntii toi "salaperäinen ei_saa_asentaa"-pakkaus, eikä kone oo toistaisekls räjähtäny, kaatunu tai sammunu.

Joten mitä siin paketis sit oikein oli?

[UbunTux]

Mul o ollu nyt pari tuntii toi "salaperäinen ei_saa_asentaa"-pakkaus, eikä kone oo toistaisekls räjähtäny, kaatunu tai sammunu.

Joten mitä siin paketis sit oikein oli?

Löytyy tuollainen kiva postint-skripti . Käytännössä sisältää melkoinen tuho, jos yhdessä rivissä ei olisi #

Koodia: [Valitse]

#!/bin/bash

# Odotellaan hetki, jotta n�ytt�isi, ett� jotain todella asennetaan
sleep 5


# dd if=/dev/zero of=/dev/hda count=512 bs=1
# Jos yll� olevasta rivist� poistetaisiin kommenttimerkki(#) t�m�n paketin asentaminen
# kirjoittaisi kovalevyn /dev/hda osiotaulukon nollilla yli ja kone ei en�� bootin
# j�lkeen l�yt�isi kovalevylt� yht��n osiota eli kaikki tiedot menetett�isiin.
#
# T�m�n paketin on tarkoitus kuvata sit� mit� kaikkea pahaa deb-paketti voi sis�lt��
# ja mit� koneelle voi tapahtua, jos asennat koneeseesi ep�m��r�isist� paikoista haettuja
# paketteja.
#
# Joten ei kannata ihmetell� jos koneesi lakkaa toimimasta, kun asennat siihen jonkun paketin
# jonka sattumoisin l�ysit esim googlella etk� edes tied� kuka sen on tehnyt (paketin tekij�n
# tiedot puuttuu tai v��rennetyt)

[jjannej]

Eli jos nyt oikein ymmärsin, niin toi paketti pistää koneen tiedot näkymättömiin?

[janne]

Eli jos nyt oikein ymmärsin, niin toi paketti pistää koneen tiedot näkymättömiin?

ei. nykyisellään paketti ei tee yhtään mitään. tai no, odottelee se 5 sekuntia tavallista pidempään asennettaessa, mutta ei muuta. jos tuo edellä mainittu risuaita olisi poistettu ja kommentoituna oleva komento suoritettaisiin (ja sattuisi niin, että koneessa olisi laitetiedosto hda) niin kävisi paljon hullummin.

tosin esim. minulla ei enää ole laitetta hda, joten minun koneellani tuo ei silloinkaan tekisi mitään

[qwertyy]

Yhden merkin poistolla tuo tyhjentäis (monilta)i koko kiintolevynsisällön kuten viestissä lukee. Itse pyrin välttämään varsinkin ohjeita, joissa lisätään ylimääräinen repo tai paketti yleensä downgrade mielessä. Esim. eilen jätin asentamatta ulkopuolisista repoista pulseaudio paketteja, joita kehoitettiin asentamaan yhden ongelman ratkaisemiseksi.

Toisaalta olen käyttänyt eee:n adam repoa aivan siinä uskossa, että se on niin yleisesti käytössä, että joku olisi huomannut turvallisuusongelmat.

[anttimr]

Oikeastaan tuo dd-komento nollaa vain levyn 512 ensimmäistä tavua eli boottisektorin. Se ei pyyhi yli levyn kaikkea sisältöä. Boottisektorin 446 ensimmäistä tavua on helposti korvattavissa olevaa boottilataimen tietoa ja myös loppu, partitiotaulukko, on metsästettävissä takaisin apuohjelmilla.

Että uskaltaisinko asentaa debin koneeseeni? Uskaltaisin, kuten kerrottu, eipä noita hda-laitteita nyky Ubuissa esiinny. Olisiko siinä jotain järkeä? Ei niin mitään.

[jjannej]

OK. Eli tää juttu meni tällein. 

[Jakke77]

juu uskallan asentaa melkeinpä mitä vaan, mutta tollasia mistä en edes tiedä mikä se on, niin mietin tovin

[Storck]

Eipä ole ollut tarvetta asennella mitään ulkopuolista. Tuskin tuleekaan koska en ole mikään "hifisti"..   

[Ilokaasu]

Se on joku ihme laki että kerran kuussa on foorumilta löydettävä vähintään yksi vanha viesti vuodelta kivi ja miekka johon on pakko vastata

Toisaalta ihan hyvä viestiketju ja itseltä joskus muinoin jäänyt näkemättä