Debian-Webinstall und Sicherheit
-
- Beiträge: 8
- Registriert: 17.08.2003 12:50:07
Debian-Webinstall und Sicherheit
hiho, ich hätte mal eine grundsätzliche frage,
wie sicher ist es eigenlich wenn ich mir ein paket über das internet downloade?
man hört immer viel über die sicherheitslücken, diverser anderer pc-betriebssysteme. linux gilt als weitestgehenst sicher. und debian setzt zudem noch nur stark getestete und stabiele programme ein. sobald ein problem bekannt wird, wird es gebugfixt und steht zum download bereit.
(das ist fein :) )
nun ist ja aber so, dass man in seinem apt-system verschiedene quellen angeben kann, woher man seine softwarepakete beziehen will. nun frage ich mich jedoch, kann ich mir überhaupt sicher sein, dass kein schwarzes schaf unter den anbietern ist. oder evtl. ein besonder gewitzter student, der für die administration des apt-servers zuständig ist, sein eigenes modifiziertes paket zum download anbietet.
soviel ich weiss werden die pakte mit der md5-hashsumme verglichen. ich denke mal, dass sie in der paketdatenbank zum vergleich aufgelistet sind. allerdings liesse sich auch diese manipulieren, da sie ja auch aus dem internet upgedatet wird (apt-get update).
es könnte dabei jedoch zu einem konflikt kommen, der eine solch falsche liste identifiziert oder zumindest das vorhanden sein einer solchen erkennen lässt. dann nämlich, wenn das gleiche paket bei glieicher version, in zwei unterschiedlichen listen (quellen) zwei voneinander abweichende prüfsummen haben.
jedenfalls würds mich mal interessieren, ob dieses installationssystem auch wirklich (nahezu) unangreifbar ist.
nur weil mir noch nie etwas darüber zu ohrengekommen ist heisst ja noch lange nicht, dass ein angriff nicht möglich sei.
was wisst ihr darüber?
bye
macros
wie sicher ist es eigenlich wenn ich mir ein paket über das internet downloade?
man hört immer viel über die sicherheitslücken, diverser anderer pc-betriebssysteme. linux gilt als weitestgehenst sicher. und debian setzt zudem noch nur stark getestete und stabiele programme ein. sobald ein problem bekannt wird, wird es gebugfixt und steht zum download bereit.
(das ist fein :) )
nun ist ja aber so, dass man in seinem apt-system verschiedene quellen angeben kann, woher man seine softwarepakete beziehen will. nun frage ich mich jedoch, kann ich mir überhaupt sicher sein, dass kein schwarzes schaf unter den anbietern ist. oder evtl. ein besonder gewitzter student, der für die administration des apt-servers zuständig ist, sein eigenes modifiziertes paket zum download anbietet.
soviel ich weiss werden die pakte mit der md5-hashsumme verglichen. ich denke mal, dass sie in der paketdatenbank zum vergleich aufgelistet sind. allerdings liesse sich auch diese manipulieren, da sie ja auch aus dem internet upgedatet wird (apt-get update).
es könnte dabei jedoch zu einem konflikt kommen, der eine solch falsche liste identifiziert oder zumindest das vorhanden sein einer solchen erkennen lässt. dann nämlich, wenn das gleiche paket bei glieicher version, in zwei unterschiedlichen listen (quellen) zwei voneinander abweichende prüfsummen haben.
jedenfalls würds mich mal interessieren, ob dieses installationssystem auch wirklich (nahezu) unangreifbar ist.
nur weil mir noch nie etwas darüber zu ohrengekommen ist heisst ja noch lange nicht, dass ein angriff nicht möglich sei.
was wisst ihr darüber?
bye
macros
Zuletzt geändert von macrosmagic am 17.08.2003 19:46:23, insgesamt 1-mal geändert.
wenn jemand selbst kompilierte deb Pakete zum Download anbietet, musst du ihm schon vertrauen dass auch das drin ist, was dran steht. Jemand der es drauf anlegt, kann damit durchaus Trojaner und alles mögliche sonstige bei dir installieren.
Aber wenn dich das stört, wem willst du sonst vertrauen? dem Programmierer der mit seinen Installskripts (configure; make; make install) genausoviel Schaden anrichten kann wie ein fertiges deb. Paket oder ein beliebiger Trojaner?
Du müsstest dir schon alle Programme selbst programmieren, um dagegen sicher zu sein.
Ich denke ein gesundes Misstrauen gehört dazu, aber wenn du dich auf die in Foren angegeben apt-Quellen verlässt, ist die Gefahr minimal, auch wenn ab und zu mal Server gehackt werden (siehe gnu.org) ist die Chance gross, dass Fehler frühzeitig gefunden und behoben werden.
Aber wenn dich das stört, wem willst du sonst vertrauen? dem Programmierer der mit seinen Installskripts (configure; make; make install) genausoviel Schaden anrichten kann wie ein fertiges deb. Paket oder ein beliebiger Trojaner?
Du müsstest dir schon alle Programme selbst programmieren, um dagegen sicher zu sein.
Ich denke ein gesundes Misstrauen gehört dazu, aber wenn du dich auf die in Foren angegeben apt-Quellen verlässt, ist die Gefahr minimal, auch wenn ab und zu mal Server gehackt werden (siehe gnu.org) ist die Chance gross, dass Fehler frühzeitig gefunden und behoben werden.
Ciao
Romulus
Romulus
Ich denke du hast ihn falsch verstanden. Er meint die offiziellen Quellen. Z.B. könnten die Pakete auf einem Debian-Mirror von jemandem böswillig verändert worden sein. Alle, die dann diese Pakete von diesem Mirror ziehen, würden dann diese kaputte/gefährliche/wasauchimmer Paket bekommen. Hier liegt die Gefahr.
Ich habe mir das auch schon überlegt, wo da die Sicherheit liegt. Habe das aber bisher noch nicht weiter verfolgt. Ich glaube aber, dass bereits daran gearbeitet wird, das stärker abzusichern. Wär aber schon gut zu wissen, wo apt an dieser Stelle angreifbar ist.
Ich habe mir das auch schon überlegt, wo da die Sicherheit liegt. Habe das aber bisher noch nicht weiter verfolgt. Ich glaube aber, dass bereits daran gearbeitet wird, das stärker abzusichern. Wär aber schon gut zu wissen, wo apt an dieser Stelle angreifbar ist.
- Beowulf666
- Beiträge: 1476
- Registriert: 06.10.2002 14:03:08
- Wohnort: Lübeck
-
Kontaktdaten:
Normalerweise sollte apt vor dem Installieren der Pakete die Prüfsummen checken. Im aktuellen Woody Release gibt es wohl nur selbst gebaute Moeglichkeiten der automatischen Prüfung. Mit dem nächsten Release soll sich das aber ändern.Beowulf666 hat geschrieben: Ausserdem, wer macht sich die Mühe, das jedesmal zu checken?
eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
- Six
- Beiträge: 8066
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Das ist müßig. Ich verstehe zwar die Besorgnis, aber letztendlich läßt sich das nicht umgehen. Ob ich nun MS windowsupdate.com vertraue, dem SuSE Updatedienst, Red Hats Up2Date oder den Debian Spiegeln, irgendwo muß ich mich auf die andere Seite verlassen.
Wenn man aber das Risiko absolut auf ein Minimum beschränken will, dann hält man sich halt an die offiziellen Debian Spiegel, lädt sich chkrootkit runter und schmeißt das per cron-Job gelegentlich an.
Ist man völlig paranoid, dann macht man dasselbe, nur das man chkrootkit als Quelle runterlädt und die entsprechende Programmiersprache lernt. Dann führt man ein Code-Review durch und kompiliert. The beauty of open source...
Wenn man aber das Risiko absolut auf ein Minimum beschränken will, dann hält man sich halt an die offiziellen Debian Spiegel, lädt sich chkrootkit runter und schmeißt das per cron-Job gelegentlich an.
Ist man völlig paranoid, dann macht man dasselbe, nur das man chkrootkit als Quelle runterlädt und die entsprechende Programmiersprache lernt. Dann führt man ein Code-Review durch und kompiliert. The beauty of open source...
Ich hab mal irgendwo gelesen, dass daran gearbeitet wird genau dieses Problem anzugehen. Es war irgendwie ein System indem die Pakete signiert wurden und eine Signatur-Reihe über Server bis zum Mantainer und so aufzubauen. Irgendeiner höheren Instanz, die deren Zertifikate dann verifiziert, muß man aber trotzdem immer vertrauen.
Aber ich denke Debian ist da sicher auf dem richtigen Weg.
Ich vertraue Debian!
cu
Aber ich denke Debian ist da sicher auf dem richtigen Weg.
Ich vertraue Debian!
cu
Ah, klar dass das Ding apt-secure heißen muß! Habs wiedergefunden, wens interessiert --> http://monk.debian.net/apt-secure/
cu
cu