eggy hat geschrieben:Ihr überseht da eine Kleinigkeit: Deine Paketinstallation läuft unter root. Und in fast jedem Paket gibt es sogenannte pre- und postinst Scripte, die ausgeführt werden sobald das Paket installiert wird. Wenn jemand böses vorhat reicht es doch darin etwas anzustellen. Und ausserdem gibts noch x andere Stellen.
Daher gilt auch weiterhin: Fremdpakete nur bei 100% Vertrauen installieren, gleiches gilt für Fremdrepos.
Und wann vertraust du jemandem zu 100%? Ich bräuchte da nicht mal die zweite Hand, um solche Menschen an den Fingern abzuzählen. Und leider betreiben die alle kein Debian repository.
Den Debian repositoriy vertraue ich notgedrungen, da ich mir kein OS selbst schreiben kann, und Debian in meinem relativen Ranking im Vergleich zu Microsoft, Apple und Co. immer noch recht weit oben plaziert sind. trozdem bin ich relativ überzeugt davon, das es bei den >1000 Debian Entwicklern auch welche gibt, die z.B., auf der Gehaltliste der NSA stehen. Hundertprozent Vertrauen sieht also anders aus.
Fremdquellen erhöhen das risiko nochmal, sowohl das da jemand böse absichten haben kann, als auch das einfach Fehler in der Absicherung der Server gemacht werden. Trozdem nutze ich manche Fremdquellen aus Bequemlichkeit und ignoriere das Risko. Ich will den Computer schließlich auch nutzen. Meine Vorsichtsmaßnahme bestehen dann in backups und darin, nur soviel persönliche Daten wie unbedingt nötig freizugeben.
Apt-pinning nutze ich auch, allerdings eher um ungewollte Paktekonflikte zu vermeiden. Als Sicherheitsmaßnahme taugt es meiner Meinung nach nicht wirklich, da ja wie schon erwähnt wurde den Fremdquellen auch bei der Aktualisierung der erwünschten Software root rechte zur Verfügung stehen.
