Vertrauenswürdigkeit von Backports

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
Benutzeravatar
Pix
Beiträge: 275
Registriert: 31.01.2003 14:22:21

Vertrauenswürdigkeit von Backports

Beitrag von Pix » 08.07.2004 15:17:00

Hallo,
immer wieder liest man, dass bei einer Installation des Systems (z.b Sarge) mögliche Backports aus der source.lst zu streichen sind.

Meine Frage:
Wie vertrauenswürdig sind Backports?

Mit anderen Worten, hat jemand was gehört, gelesen oder wie auch immer, dass ein Backport benutzt wurde um eine Backdoor, ein Virus oder sonst etwas einzuschleusen bzw. zu verbreiten?

Wie sind die Server, auf denen die Backports liegen, gesichert?
So gut wie bei Debian? Denn dort wurde damals der Einbruch mit Hilfe von AIDE entdeckt.

Danke Dirk
Nach oben
Benutzeravatar
chimaera
Beiträge: 3804
Registriert: 01.08.2002 01:31:18
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von chimaera » 08.07.2004 15:26:57

backports liegen auf beliebeigen server. inwieweit du den servern, maintainern, resp. paketen vertraust, musst du allein entscheiden..
[..] Linux is not a code base. Or a distro. Or a kernel. It's an attitude. And it's not about Open Source. It's about a bunch of people who still think vi is a good config UI. - Matt's reply on ESR's cups/ui rant
Nach oben
Benutzeravatar
emge
Beiträge: 1525
Registriert: 20.10.2003 22:05:46
Lizenz eigener Beiträge: Artistic Lizenz
Wohnort: 50° 45' 0" N 12° 10' 0" E

Re: Vertrauenswürdigkeit von Backports

Beitrag von emge » 08.07.2004 15:42:45

Pix hat geschrieben:Hallo,
immer wieder liest man, dass bei einer Installation des Systems (z.b Sarge) mögliche Backports aus der source.lst zu streichen sind.

Meine Frage:
Wie vertrauenswürdig sind Backports?

Mit anderen Worten, hat jemand was gehört, gelesen oder wie auch immer, dass ein Backport benutzt wurde um eine Backdoor, ein Virus oder sonst etwas einzuschleusen bzw. zu verbreiten?
Ich glaube nichtmal, dass das das Problem mit den Backports ist. Vielmehr kann es Probleme einfach aus der Tatsache geben, dass die Backports nicht annähernd die Qualitätssicherung durchlaufen haben, wie die "richtige" Debian-Pakete.

Eine Backportsquelle kann auch die Debian-Quellen "überlagern" und einem dann beim nächsten Install Backports anstatt der erwarteten Debian-Pakete aufs System bringen.

Ich denke, dass dadurch viel eher das System in seiner Stabilität kompromitiert wird als das man sich Viren oder Trojaner einschleppt. Wobei das natürlich niemand ausschliessen kann.

Deshalb liesst man eben überall die Empfehlung, keine Backports-Quellen permanent in der sources.list stehen zu lassen. Ansonsten würde ich mal chimaeras Antwort unterstreichen.

Grüße, Marco
Nach oben
Benutzeravatar
abi
Beiträge: 2219
Registriert: 20.12.2001 19:42:56
Wohnort: München
Kontaktdaten:

Beitrag von abi » 08.07.2004 23:17:26

das kommt darauf an von wo du deine Backports beziehst.
Die, die auf backports.org angeboten werden, sind definitv
vertrauenswürdig und werden in der Regel von Personen erstellt
die sich im Debian Projekt bereits einen Namen gemacht haben.
Nach oben
ernohl
Beiträge: 1249
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Re: Vertrauenswürdigkeit von Backports

Beitrag von ernohl » 09.07.2004 18:04:06

emge hat geschrieben:Eine Backportsquelle kann auch die Debian-Quellen "überlagern" und einem dann beim nächsten Install Backports anstatt der erwarteten Debian-Pakete aufs System bringen.
Aber nur, wenn du apt nicht vernünftig konfigurieren kannst. :wink:
Gruß
ernohl
Nach oben
Antworten

Zurück zu „Einstiegsfragen“