Debian-Webinstall und Sicherheit

macrosmagic · Beitrag von **macrosmagic** » 17.08.2003 19:38:30

hiho, ich hätte mal eine grundsätzliche frage,

wie sicher ist es eigenlich wenn ich mir ein paket über das internet downloade?

man hört immer viel über die sicherheitslücken, diverser anderer pc-betriebssysteme. linux gilt als weitestgehenst sicher. und debian setzt zudem noch nur stark getestete und stabiele programme ein. sobald ein problem bekannt wird, wird es gebugfixt und steht zum download bereit.
(das ist fein :) )

nun ist ja aber so, dass man in seinem apt-system verschiedene quellen angeben kann, woher man seine softwarepakete beziehen will. nun frage ich mich jedoch, kann ich mir überhaupt sicher sein, dass kein schwarzes schaf unter den anbietern ist. oder evtl. ein besonder gewitzter student, der für die administration des apt-servers zuständig ist, sein eigenes modifiziertes paket zum download anbietet.

soviel ich weiss werden die pakte mit der md5-hashsumme verglichen. ich denke mal, dass sie in der paketdatenbank zum vergleich aufgelistet sind. allerdings liesse sich auch diese manipulieren, da sie ja auch aus dem internet upgedatet wird (apt-get update).

es könnte dabei jedoch zu einem konflikt kommen, der eine solch falsche liste identifiziert oder zumindest das vorhanden sein einer solchen erkennen lässt. dann nämlich, wenn das gleiche paket bei glieicher version, in zwei unterschiedlichen listen (quellen) zwei voneinander abweichende prüfsummen haben.

jedenfalls würds mich mal interessieren, ob dieses installationssystem auch wirklich (nahezu) unangreifbar ist.
nur weil mir noch nie etwas darüber zu ohrengekommen ist heisst ja noch lange nicht, dass ein angriff nicht möglich sei.

was wisst ihr darüber?

bye

macros

romulus · Beitrag von **romulus** » 17.08.2003 19:46:15

wenn jemand selbst kompilierte deb Pakete zum Download anbietet, musst du ihm schon vertrauen dass auch das drin ist, was dran steht. Jemand der es drauf anlegt, kann damit durchaus Trojaner und alles mögliche sonstige bei dir installieren.

Aber wenn dich das stört, wem willst du sonst vertrauen? dem Programmierer der mit seinen Installskripts (configure; make; make install) genausoviel Schaden anrichten kann wie ein fertiges deb. Paket oder ein beliebiger Trojaner?
Du müsstest dir schon alle Programme selbst programmieren, um dagegen sicher zu sein.
Ich denke ein gesundes Misstrauen gehört dazu, aber wenn du dich auf die in Foren angegeben apt-Quellen verlässt, ist die Gefahr minimal, auch wenn ab und zu mal Server gehackt werden (siehe gnu.org) ist die Chance gross, dass Fehler frühzeitig gefunden und behoben werden.

hupfdule · Beitrag von **hupfdule** » 18.08.2003 08:31:37

Ich denke du hast ihn falsch verstanden. Er meint die offiziellen Quellen. Z.B. könnten die Pakete auf einem Debian-Mirror von jemandem böswillig verändert worden sein. Alle, die dann diese Pakete von diesem Mirror ziehen, würden dann diese kaputte/gefährliche/wasauchimmer Paket bekommen. Hier liegt die Gefahr.
Ich habe mir das auch schon überlegt, wo da die Sicherheit liegt. Habe das aber bisher noch nicht weiter verfolgt. Ich glaube aber, dass bereits daran gearbeitet wird, das stärker abzusichern. Wär aber schon gut zu wissen, wo apt an dieser Stelle angreifbar ist.

suntsu · Beitrag von **suntsu** » 18.08.2003 09:03:49

Gibt es da nicht die md5-prüfsumme, um zu schauen ob die Pakete wirklich die sind die sie vorgeben?

gruss
manuel

Beowulf666 · Beitrag von **Beowulf666** » 18.08.2003 09:08:53

jupp, aber wenn du md5 Checchsum und Paket aus der gleichen Quelle beziehst, bringt das irgendwie nix.
Ausserdem, wer macht sich die Mühe, das jedesmal zu checken?

eagle · Beitrag von **eagle** » 18.08.2003 09:48:22

Beowulf666 hat geschrieben: Ausserdem, wer macht sich die Mühe, das jedesmal zu checken?

Normalerweise sollte apt vor dem Installieren der Pakete die Prüfsummen checken. Im aktuellen Woody Release gibt es wohl nur selbst gebaute Moeglichkeiten der automatischen Prüfung. Mit dem nächsten Release soll sich das aber ändern.

eagle

Six · Beitrag von **Six** » 18.08.2003 17:14:46

Das ist müßig. Ich verstehe zwar die Besorgnis, aber letztendlich läßt sich das nicht umgehen. Ob ich nun MS windowsupdate.com vertraue, dem SuSE Updatedienst, Red Hats Up2Date oder den Debian Spiegeln, irgendwo muß ich mich auf die andere Seite verlassen.

Wenn man aber das Risiko absolut auf ein Minimum beschränken will, dann hält man sich halt an die offiziellen Debian Spiegel, lädt sich chkrootkit runter und schmeißt das per cron-Job gelegentlich an.

Ist man völlig paranoid, dann macht man dasselbe, nur das man chkrootkit als Quelle runterlädt und die entsprechende Programmiersprache lernt. Dann führt man ein Code-Review durch und kompiliert. The beauty of open source...

suntsu · Beitrag von **suntsu** » 18.08.2003 18:15:17

Wobei so ein Code-Review nicht gerade die einfachste Aufgabe ist.

gruss
manuel

tylerD · Beitrag von **tylerD** » 18.08.2003 21:22:24

Ich hab mal irgendwo gelesen, dass daran gearbeitet wird genau dieses Problem anzugehen. Es war irgendwie ein System indem die Pakete signiert wurden und eine Signatur-Reihe über Server bis zum Mantainer und so aufzubauen. Irgendeiner höheren Instanz, die deren Zertifikate dann verifiziert, muß man aber trotzdem immer vertrauen.
Aber ich denke Debian ist da sicher auf dem richtigen Weg.

Ich vertraue Debian!

cu

tylerD · Beitrag von **tylerD** » 18.08.2003 21:26:13

Ah, klar dass das Ding apt-secure heißen muß! Habs wiedergefunden, wens interessiert --> http://monk.debian.net/apt-secure/

cu