Pakete für Offline-PC
-
- Beiträge: 3281
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: Pakete für Offline-PC
Die Prüfung passiert erst mit apt/apt-get beim installieren. Aber wenn apt-mirror mit https funktioniert, wäre das zu empfehlen.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: Pakete für Offline-PC
Ich weiß nicht, ob https überhaupt unterstützt wird. Wenn ja, dann kann es nicht schaden.debianx hat geschrieben:19.11.2018 18:49:04Wäre es besser bei apt-mirror das http der Quellen dann durch ein https zu ersetzen?
Der Mirror aber beinhaltet Dateien mit Prüfsummen und GPG-Schlüsseln. Beides wird von der apt-Familie genutzt, um die Integrität der Debianpakete zu verifizieren.
Re: Pakete für Offline-PC
Danke, also bedeutet das apt/apt-get kann auch offline von einer beliebigen Quelle kompromittierte Pakete erkennen und die Installation solcher verhindern?
Re: Pakete für Offline-PC
Im Prinzip ja. Theoretisch könnte ein Angreifer natürlich während der Übertragung zum Onlinesystem Debianpakete manipulieren, neue Prüfsummen berechnen und in die Prüfsummendatei speichern und mit einem gefälschten GPG-Schlüssel signieren. Am Ende müßte noch der gefälschte Schlüssel auf dem Offlinerechner unter /etc/apt/trusted.gpg.d ersetzt werden, gegen die die Signaturen geprüft werden. Vor allem der letzte Schritt dürfte bei einem Offlinesystem fast unmöglich zu bewerkstelligen sein.debianx hat geschrieben:20.11.2018 01:40:52Danke, also bedeutet das apt/apt-get kann auch offline von einer beliebigen Quelle kompromittierte Pakete erkennen und die Installation solcher verhindern?
-
- Beiträge: 3281
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: Pakete für Offline-PC
Könnte man nicht dscverify über den Pool von deb-mirror laufen lassen? Es muss dann nur das Paket debian-kering vertrauenswürdig und in der entsprechenden Version installiert sein.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/