Überprüfen der Integrität von Paketen oder wo ist APT 0.6?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
weizenbier
Beiträge: 387
Registriert: 26.11.2002 15:37:00
Wohnort: Oberhausen

Überprüfen der Integrität von Paketen oder wo ist APT 0.6?

Beitrag von weizenbier » 28.12.2004 13:28:55

Hallo Leute,

durch meinen Umstieg auf den Xorg Server heute,
ist mir aufgefallen, dass sich immer mehr Repositories in meine
sources.list eingeschlichen haben.Mir stellte sich dabei die Frage,
welche Gefahren ich dabei eingehe, wenn ich Pakete aus Fremdrepositories installiere.

Im Umkehrschluss habe ich mal kurz gesucht, was Debian selbst macht, um die
Integrität seiner Pakete zu schützen. Dabei ist mir aufgefallen, dass mit der aktuellen
APT Version nur MD5 Summen überprüft werden aber keine GPG Signaturen.
Siehe dazu auch: http://www.debianforum.de/forum/viewtopic.php?t=16845
Aus diesem Thread lese ich, dass dies erst ab APT 0.6 geschehen soll.
Daher meine Fragen:

Warum ist das Paket in Experimental schon in Version 0.6.25 vorhanden und immer noch nicht in SID?
Was spricht dagegen, schon jetzt das Experimental Paket zu benutzen? Funktioniert das Verifizieren der GPG Signaturen schon?
Wie gross schätzt ihr die Sicherheitsverbesserung ein?

Danke,

Weizenbier
There are only 10 types of people in the world:
Those who do understand binary and those who don't.
Nach oben
Benutzeravatar
peschmae
Beiträge: 4844
Registriert: 07.01.2003 12:50:33
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: nirgendwo im irgendwo

Re: Überprüfen der Integrität von Paketen oder wo ist APT 0.

Beitrag von peschmae » 28.12.2004 13:32:20

weizenbier hat geschrieben: Warum ist das Paket in Experimental schon in Version 0.6.25 vorhanden und immer noch nicht in SID?
Wohl weil ein upgrade von apt eine recht heikle Sache ist. Wenn da was kaputtgeht an apt bist du nämlich etwas aufgeschmissen. Ich meine bei anderen Paketproblemen lässt du einfach ein paar apt-get -f und was weiss ich vom Stapel oder machst einfach ein upgrade wenn das Problem gefixed wurde. Aber wenn apt selber kaputt gegangen ist ists schon nicht mehr ganz so praktisch :)

Ich habe allerdings gemeint dass die md5sum-Files gpg-signiert sind und das die Signatur schon heute geprüft wird. Das reicht ja eigentlich.

MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
Nach oben
weizenbier
Beiträge: 387
Registriert: 26.11.2002 15:37:00
Wohnort: Oberhausen

Beitrag von weizenbier » 28.12.2004 13:46:55

Hi peschmae,

das APT ein heikles Paket ist, war mir schon klar.
Mich verwundert nur, dass in SID man gerade mal bei Version 0.5.27 ist,
waehrend man in Experimental schon an 0.6.25 herumschraubt.
Ich habe allerdings gemeint dass die md5sum-Files gpg-signiert sind und das die Signatur schon heute geprüft wird. Das reicht ja eigentlich.
Wie erkenne ich das bei einem normalen apt-get upgrade? Gibt es entsprechende
Optionen fuer APT oder DPKG?

Salut,

Weizenbier
There are only 10 types of people in the world:
Those who do understand binary and those who don't.
Nach oben
Benutzeravatar
peschmae
Beiträge: 4844
Registriert: 07.01.2003 12:50:33
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: nirgendwo im irgendwo

Beitrag von peschmae » 29.12.2004 10:16:09

Öh, nein, mist, da hab ich was durcheinander gebracht. Hatte wohl früher mal apt-get 0.6 installiert zum gucken. Das geht erst mit dem so.

MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
Nach oben
Antworten

Zurück zu „Einstiegsfragen“