Sicherheit bei Installation von Debian-Servern ?
Sicherheit bei Installation von Debian-Servern ?
Hallo !
Hoffe das ich hier richtig poste !
Meine Frage bezieht sich auf das installieren von Paketen ( z.B. via apt ) mittels der Debian Server ( können natürlich auch andere Quellen sein ! ).
Wie sicher ist diese Art der Paketbeschaffung ?
Muß das als root erfolgen oder gibt es auch andere Möglichkeiten ( herunterladen mit anschließender Installation als root ? ) ?
Wie sicher und vertrauenswürdig sind diese Server ?
Bitte versteht mich nicht falsch !
Es ist eine rein informative Frage.
Worauf ist zu achten bei der Installation von Paketen aus dem Netz ?
Hoffe das ich hier richtig poste !
Meine Frage bezieht sich auf das installieren von Paketen ( z.B. via apt ) mittels der Debian Server ( können natürlich auch andere Quellen sein ! ).
Wie sicher ist diese Art der Paketbeschaffung ?
Muß das als root erfolgen oder gibt es auch andere Möglichkeiten ( herunterladen mit anschließender Installation als root ? ) ?
Wie sicher und vertrauenswürdig sind diese Server ?
Bitte versteht mich nicht falsch !
Es ist eine rein informative Frage.
Worauf ist zu achten bei der Installation von Paketen aus dem Netz ?
Danke !
Ciao
Celica
Ciao
Celica
- Leonidas
- Beiträge: 2032
- Registriert: 28.04.2003 13:48:49
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: Sicherheit bei Installation von Debian-Servern ?
Ja, runterladen geht, wget und installieren dann mit dpkg -i.Celica hat geschrieben:Meine Frage bezieht sich auf das installieren von Paketen ( z.B. via apt ) mittels der Debian Server ( können natürlich auch andere Quellen sein ! ).
Wie sicher ist diese Art der Paketbeschaffung ?
Muß das als root erfolgen oder gibt es auch andere Möglichkeiten ( herunterladen mit anschließender Installation als root ? ) ?
Sie sind so sicher wie gut die Admins sie administrieren.Celica hat geschrieben:Wie sicher und vertrauenswürdig sind diese Server ?
Worauf ist zu achten bei der Installation von Paketen aus dem Netz ?
Zu beachten: das du nicht gefakte Debian Pakete aus unsicheren Quellen lädst. Welche das sind? Kenne keine!
Wir wollten einen Marsch spielen, aber wir hatten nur Xylophone.
Ganz so einfach ist das nun auch wieder nicht. Jemand könnte per DNS Spoofing Dir einen anderen server unterschieben. Bin mir sicher, das es da noch mehr Varianten als nur die Manipulation von DNS gibt.
Daher sind die Pakete ja auch signiert. Leider ist in apt und Konsorten noch keine automatische Prüfung enthalten. Und mal ehrlich, wer macht das schon händisch
Wenn ich mich recht erinnere, schrieb hier neulich jemand (peschmä?) das in experimental bereits apt/... enthalten sind, die eine automatische Prüfung der Pakete machen..
Bert
Daher sind die Pakete ja auch signiert. Leider ist in apt und Konsorten noch keine automatische Prüfung enthalten. Und mal ehrlich, wer macht das schon händisch
Wenn ich mich recht erinnere, schrieb hier neulich jemand (peschmä?) das in experimental bereits apt/... enthalten sind, die eine automatische Prüfung der Pakete machen..
Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
- Leonidas
- Beiträge: 2032
- Registriert: 28.04.2003 13:48:49
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Okay, wenn wir extrem paranoid sein sollen, dann sollten wir erstmal ein Probesystem aufsetzen, die Updates nen Monat testen und erst danach das Produktivsystem mit genau dieser Version updaten. Hängt ab, was für einen so Praktikabel ist.
Signierte Pakete wären aber durchaus nett, zugegeben.
Signierte Pakete wären aber durchaus nett, zugegeben.
Wir wollten einen Marsch spielen, aber wir hatten nur Xylophone.
- Raoul
- Beiträge: 1435
- Registriert: 20.05.2003 00:16:35
- Lizenz eigener Beiträge: neue BSD Lizenz
-
Kontaktdaten:
Jo, das finde ich auch immer noch sehr vorsintflutlich an apt. Andere Paketmanager, die ich kenne (apt4rpm, yum, red- und open-carpet) machen das automatisch.Bert hat geschrieben:Daher sind die Pakete ja auch signiert. Leider ist in apt und Konsorten noch keine automatische Prüfung enthalten.
Raoul
Code: Alles auswählen
grep -ir fuck /usr/src/linux
Ich denke es ist dringend geboten, schließlich gab es schon Versuche Open Source Software Pakete auszutauschen.Leonidas hat geschrieben:Signierte Pakete wären aber durchaus nett, zugegeben.
Je mehr sich Linux verbreitet desto lukrativer wird es auch für Angriffe. Wir sollten uns nicht zu sehr in Sicherheit wiegen sondern wachsam sein .
eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
- peschmae
- Beiträge: 4844
- Registriert: 07.01.2003 12:50:33
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: nirgendwo im irgendwo
Jo. Ich war das. Also das was geprüft wird sind glaub ich nicht die Paketsignaturen (gibts sowas überhaupt?) sondern die Signatur der Release-Datei mit den md5summen drin. Aber das reicht schonBert hat geschrieben:Wenn ich mich recht erinnere, schrieb hier neulich jemand (peschmä?) das in experimental bereits apt/... enthalten sind, die eine automatische Prüfung der Pakete machen..
Geht ganz gut hier. Das einzige Problem ists etwas für einige der Repositories die GPG-Schlüssel herzukriegen (z.B. bei Ubuntu hats zwar ne Seite zum Thema im Wiki aber da steht nicht wie der Ubuntu SChlüssel heisst weil den die Ubuntu User eh schon drauf haben...).
Erst heute hat das Ding übrigens mal über unsigniert gemeckert. Keine Ahnung ob da was dran ist oder ob einfach mein gpg irgendwie irgendwo etwas kaputt ist
[Edit]Hab nachgeguckt, die Release.gpg-Datei auf den Mirrorn ist heute leer. Kein Wunder geht nix.[/Edit]
MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
Hallo !
Da habe ich ja einrge Diskussion entfacht !
Auf der einen Seite ist es gur wenn sich ein System auf diese Art & Weise aktuell halten läst, aber auf der anderen Seite birgt es natürlich auch einiges an Risiken in sich !
Ich bin ohnehin jemand der lieber von einer DVD oder anderen lokalen Medien ( könnte auch ein Server im Netzwerk sein ) installiert !
Nicht jeder hat eine entsprechend schnelle ( DSL, ... ) ANbindung an die Außenwelt, die eine Installation auf diese Art zulassen würde.
Eine Signierung für Pakete wäre wirklich eine feine Sache !
Auf der anderen Seite: Was ist schon wirklich Sicher ?
Microdoooof macht es ja vor ! Die sind alles andere als sicher !
Insgesamt ein heikles & schwieriges Thema !
Da habe ich ja einrge Diskussion entfacht !
Auf der einen Seite ist es gur wenn sich ein System auf diese Art & Weise aktuell halten läst, aber auf der anderen Seite birgt es natürlich auch einiges an Risiken in sich !
Ich bin ohnehin jemand der lieber von einer DVD oder anderen lokalen Medien ( könnte auch ein Server im Netzwerk sein ) installiert !
Nicht jeder hat eine entsprechend schnelle ( DSL, ... ) ANbindung an die Außenwelt, die eine Installation auf diese Art zulassen würde.
Eine Signierung für Pakete wäre wirklich eine feine Sache !
Auf der anderen Seite: Was ist schon wirklich Sicher ?
Microdoooof macht es ja vor ! Die sind alles andere als sicher !
Insgesamt ein heikles & schwieriges Thema !
Danke !
Ciao
Celica
Ciao
Celica