Sicherheit bei Installation von Debian-Servern ?

Celica · Beitrag von **Celica** » 28.01.2005 18:30:20

Hallo !

Hoffe das ich hier richtig poste !

Meine Frage bezieht sich auf das installieren von Paketen ( z.B. via apt ) mittels der Debian Server ( können natürlich auch andere Quellen sein ! ).

Wie sicher ist diese Art der Paketbeschaffung ?
Muß das als root erfolgen oder gibt es auch andere Möglichkeiten ( herunterladen mit anschließender Installation als root ? ) ?

Wie sicher und vertrauenswürdig sind diese Server ?

Bitte versteht mich nicht falsch !
Es ist eine rein informative Frage.

Worauf ist zu achten bei der Installation von Paketen aus dem Netz ?

Leonidas · Beitrag von **Leonidas** » 28.01.2005 21:20:25

Celica hat geschrieben:Meine Frage bezieht sich auf das installieren von Paketen ( z.B. via apt ) mittels der Debian Server ( können natürlich auch andere Quellen sein ! ).

Wie sicher ist diese Art der Paketbeschaffung ?
Muß das als root erfolgen oder gibt es auch andere Möglichkeiten ( herunterladen mit anschließender Installation als root ? ) ?

Ja, runterladen geht, wget und installieren dann mit dpkg -i.

Celica hat geschrieben:Wie sicher und vertrauenswürdig sind diese Server ?
Worauf ist zu achten bei der Installation von Paketen aus dem Netz ?

Sie sind so sicher wie gut die Admins sie administrieren.
Zu beachten: das du nicht gefakte Debian Pakete aus unsicheren Quellen lädst. Welche das sind? Kenne keine!

Bert · Beitrag von **Bert** » 28.01.2005 21:58:13

Ganz so einfach ist das nun auch wieder nicht. Jemand könnte per DNS Spoofing Dir einen anderen server unterschieben. Bin mir sicher, das es da noch mehr Varianten als nur die Manipulation von DNS gibt.

Daher sind die Pakete ja auch signiert. Leider ist in apt und Konsorten noch keine automatische Prüfung enthalten. Und mal ehrlich, wer macht das schon händisch

Wenn ich mich recht erinnere, schrieb hier neulich jemand (peschmä?) das in experimental bereits apt/... enthalten sind, die eine automatische Prüfung der Pakete machen..

Bert

Leonidas · Beitrag von **Leonidas** » 28.01.2005 22:24:37

Okay, wenn wir extrem paranoid sein sollen, dann sollten wir erstmal ein Probesystem aufsetzen, die Updates nen Monat testen und erst danach das Produktivsystem mit genau dieser Version updaten. Hängt ab, was für einen so Praktikabel ist.

Signierte Pakete wären aber durchaus nett, zugegeben.

Raoul · Beitrag von **Raoul** » 28.01.2005 23:24:43

Bert hat geschrieben:Daher sind die Pakete ja auch signiert. Leider ist in apt und Konsorten noch keine automatische Prüfung enthalten.

Jo, das finde ich auch immer noch sehr vorsintflutlich an apt. Andere Paketmanager, die ich kenne (apt4rpm, yum, red- und open-carpet) machen das automatisch.

Raoul

eagle · Beitrag von **eagle** » 28.01.2005 23:37:02

Leonidas hat geschrieben:Signierte Pakete wären aber durchaus nett, zugegeben.

Ich denke es ist dringend geboten, schließlich gab es schon Versuche Open Source Software Pakete auszutauschen.

Je mehr sich Linux verbreitet desto lukrativer wird es auch für Angriffe. Wir sollten uns nicht zu sehr in Sicherheit wiegen sondern wachsam sein

.

eagle

peschmae · Beitrag von **peschmae** » 29.01.2005 09:33:35

Bert hat geschrieben:Wenn ich mich recht erinnere, schrieb hier neulich jemand (peschmä?) das in experimental bereits apt/... enthalten sind, die eine automatische Prüfung der Pakete machen..

Jo. Ich war das. Also das was geprüft wird sind glaub ich nicht die Paketsignaturen (gibts sowas überhaupt?) sondern die Signatur der Release-Datei mit den md5summen drin. Aber das reicht schon

Geht ganz gut hier. Das einzige Problem ists etwas für einige der Repositories die GPG-Schlüssel herzukriegen (z.B. bei Ubuntu hats zwar ne Seite zum Thema im Wiki aber da steht nicht wie der Ubuntu SChlüssel heisst weil den die Ubuntu User eh schon drauf haben...).

Erst heute hat das Ding übrigens mal über unsigniert gemeckert. Keine Ahnung ob da was dran ist oder ob einfach mein gpg irgendwie irgendwo etwas kaputt ist

[Edit]Hab nachgeguckt, die Release.gpg-Datei auf den Mirrorn ist heute leer. Kein Wunder geht nix.[/Edit]

MfG Peschmä

Celica · Beitrag von **Celica** » 29.01.2005 14:18:03

Hallo !

Da habe ich ja einrge Diskussion entfacht !

Auf der einen Seite ist es gur wenn sich ein System auf diese Art & Weise aktuell halten läst, aber auf der anderen Seite birgt es natürlich auch einiges an Risiken in sich !

Ich bin ohnehin jemand der lieber von einer DVD oder anderen lokalen Medien ( könnte auch ein Server im Netzwerk sein ) installiert !

Nicht jeder hat eine entsprechend schnelle ( DSL, ... ) ANbindung an die Außenwelt, die eine Installation auf diese Art zulassen würde.

Eine Signierung für Pakete wäre wirklich eine feine Sache !

Auf der anderen Seite: Was ist schon wirklich Sicher ?

Microdoooof macht es ja vor ! Die sind alles andere als sicher !

Insgesamt ein heikles & schwieriges Thema !

debianforum.de

Sicherheit bei Installation von Debian-Servern ?

Sicherheit bei Installation von Debian-Servern ?

Re: Sicherheit bei Installation von Debian-Servern ?