Pakete für Offline-PC

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Pakete für Offline-PC

Beitrag von inne » 19.11.2018 19:03:18

Die Prüfung passiert erst mit apt/apt-get beim installieren. Aber wenn apt-mirror mit https funktioniert, wäre das zu empfehlen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Pakete für Offline-PC

Beitrag von MSfree » 19.11.2018 19:14:16

debianx hat geschrieben: ↑ zum Beitrag ↑
19.11.2018 18:49:04
Wäre es besser bei apt-mirror das http der Quellen dann durch ein https zu ersetzen?
Ich weiß nicht, ob https überhaupt unterstützt wird. Wenn ja, dann kann es nicht schaden. :wink:

Der Mirror aber beinhaltet Dateien mit Prüfsummen und GPG-Schlüsseln. Beides wird von der apt-Familie genutzt, um die Integrität der Debianpakete zu verifizieren.

debianx
Beiträge: 77
Registriert: 18.01.2017 17:04:10

Re: Pakete für Offline-PC

Beitrag von debianx » 20.11.2018 01:40:52

Danke, also bedeutet das apt/apt-get kann auch offline von einer beliebigen Quelle kompromittierte Pakete erkennen und die Installation solcher verhindern?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Pakete für Offline-PC

Beitrag von MSfree » 20.11.2018 07:47:04

debianx hat geschrieben: ↑ zum Beitrag ↑
20.11.2018 01:40:52
Danke, also bedeutet das apt/apt-get kann auch offline von einer beliebigen Quelle kompromittierte Pakete erkennen und die Installation solcher verhindern?
Im Prinzip ja. Theoretisch könnte ein Angreifer natürlich während der Übertragung zum Onlinesystem Debianpakete manipulieren, neue Prüfsummen berechnen und in die Prüfsummendatei speichern und mit einem gefälschten GPG-Schlüssel signieren. Am Ende müßte noch der gefälschte Schlüssel auf dem Offlinerechner unter /etc/apt/trusted.gpg.d ersetzt werden, gegen die die Signaturen geprüft werden. Vor allem der letzte Schritt dürfte bei einem Offlinesystem fast unmöglich zu bewerkstelligen sein.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Pakete für Offline-PC

Beitrag von inne » 20.11.2018 09:19:38

Könnte man nicht dscverify über den Pool von deb-mirror laufen lassen? Es muss dann nur das Paket Debiandebian-kering vertrauenswürdig und in der entsprechenden Version installiert sein.

Antworten