Moin,
eigentlich wollte ich das gestern schon fragen, hat nicht wirklich was mit dem zu tun, was heute passiert ist, aber eigentlich doch, sogar jede Menge...
Also:
Kann, und wenn ja wie, ich bei einem 'apt-get upgrade' die Pakete gegen die GPG-Signaturen der Entwickler prüfen? Ich erinnere mich dunkel an einen Vortrag von Heiko bei einer COMTEC, wo es um Vertrauen ging und auch die Rede von GnuPG-Signaturen bei Debian war. Eigentlich ist es doch, ähm, sehr unoptimal, daß man als 'root' Pakete via 'apt-get upgrade' einspielt, ohne wirkliche Chance einer Prüfung. Entweder bin ich zu blind, den passenden Weg dafür zu finden, oder es ist IMHO eine arge Designschwäche (RPM ebenso).
Und nein, die Option den Source zu laden, Zeile für Zeile zu verifizieren und dann zu compilieren ist _keine_ reale Option.
Sorry, ich will niemand auf die Füße treten...
Andreas, Debian auf Internetzugangssystemen einsetzend...
Hallo Andreas,
Am 21. November 2003 schrieb Andreas Kretschmer:
Kann, und wenn ja wie, ich bei einem 'apt-get upgrade' die Pakete gegen die GPG-Signaturen der Entwickler prüfen?
die Release-Datei ist signiert und enthält MD5-Summen der Package-Dateien, die wiederum MD5-Summen der Pakete enthalten. Irgendwo gibt es auch ein Skript zum automatischen prüfen.
Und nein, die Option den Source zu laden, Zeile für Zeile zu verifizieren und dann zu compilieren ist _keine_ reale Option.
Die *.dsc-Dateien der Quelltexte sind jeweils vom Uploader signiert und enthalten wiederum MD5-Summen.
Torsten
am Fri, dem 21.11.2003, um 17:47:43 +0100 mailte Torsten Werner folgendes:
Hallo Andreas,
Am 21. November 2003 schrieb Andreas Kretschmer:
Kann, und wenn ja wie, ich bei einem 'apt-get upgrade' die Pakete gegen die GPG-Signaturen der Entwickler prüfen?
die Release-Datei ist signiert und enthält MD5-Summen der Package-Dateien, die wiederum MD5-Summen der Pakete enthalten. Irgendwo gibt es auch ein Skript zum automatischen prüfen.
Ah ja. Mit anderen Worten: Da gibts schon was von Ratiopharm ;-)
Frage: wer kennt es?
Ich mache 'apt-get upgrade' nicht automatisch, nur ein nächliches 'apt-get update & apt-get upgrade -s', dessen Ausgabe ich parse. Falls Bedarf: Mail an mich. Der Rest manuell. Ein Script, was die Prüfung noch mal macht und z.B. abbricht, wenn Differenzen bestehen, wäre ja nicht schlecht...
Andreas
On 21.11.03 Torsten Werner (email@twerner42.de) wrote:
Am 21. November 2003 schrieb Andreas Kretschmer:
Moin,
Kann, und wenn ja wie, ich bei einem 'apt-get upgrade' die Pakete gegen die GPG-Signaturen der Entwickler prüfen?
die Release-Datei ist signiert und enthält MD5-Summen der Package-Dateien, die wiederum MD5-Summen der Pakete enthalten. Irgendwo gibt es auch ein Skript zum automatischen prüfen.
Ist das bei unstable genauso? Stellt sich da jeden Tag[1] einer hin und signiert die Release-Datei neu?
H.
[1] Oder halt wann katie (IIRC) mal wieder einen Run über incoming.debian.org getan hat und die Packages approved hat.
Am 21. November 2003 schrieb Andreas Kretschmer:
Frage: wer kennt es?
Such mal bei google nach apt-checksigs. Leider sind die Listen gerade down.
Am 21. November 2003 schrieb Hilmar Preusse:
Ist das bei unstable genauso?
Ja, es sieht so aus.
Torsten
Andreas Kretschmer kretschmer@kaufbach.delug.de writes:
oder es ist IMHO eine arge Designschwäche (RPM ebenso).
RPMs sind signiert. Zumindest bei ordentlichen Distributionen.
Gruss, Stefan
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Hilmar Preusse -
Stefan Seyfried -
Torsten Werner