Κλειδιά ασφαλείας για τα αποθετήρια του Mint;

gnu_labis | Τρί, 01/13/2009 - 13:34 | 3' | 22

Μιας κ πολύς κόσμος φαίνεται να τη βρίσκει με το Mint, θα ήθελα να ρωτήσω το εξής:

Όταν πρόσφατα έκανα μια εγκατάσταση του Mint 6, παρατήρησα ότι όταν πήγα να κατεβάσω τις ενημερώσεις, ο διαχειριστής πακέτων παραπονέθηκε ότι κάποια από τα πακέτα (όχι όλα) που θα κατέβαζε δεν είχαν "υπογραφή" (gpg signature).

Αρχικά φαντάστηκα ότι το Mint δεν περιλαμβάνει τα κλειδιά από τα αποθετήρια του Ubuntu (τα οποία κ χρησιμοποιεί). Με έκπληξη όμως διαπίστωσα ότι τα ενυπόγραφα πακέτα ήταν αυτά του Ubuntu, κ τα ανυπόγραφα ήταν του ίδιου του Mint.

Αμέσως καταπιάστηκα να κατεβάσω τα κλειδιά του Mint κ να τα προσθέσω,. Κ τότε κατάλαβα γιατί δεν τα είχαν βάλει εξαρχής: γιατί δεν υπάρχουν!

Πώς είναι δυνατόν μια σοβαρή διανομή να μην υπογράφει τα πακέτα της :?

Το θεωρώ σημαντικό γιατί πχ ο πατέρας μου (ο χρήστης αυτής της εγκατάστασης του Mint που έκανα) αποκτά ήδη το πολύ κακό συνήθειο να αγνοεί την παραπάνω προειδοποίηση του διαχειριστή πακέτων, κ απλά πατάει ok. Στην πραγματικότητα όμως, μαθαίνοντας να πατάμε τυφλά ok, καταργούμε την ασφάλεια που εισάγουν οι υπογραφές αυτές.

Σήμερα δεν είναι κ τόσο σημαντικό θέμα. Αύριο-μεθαύριο όμως, με δεδομένη την ραγδαία εξάπλωση του linux, οι κακόβουλοι με αποθετήρια-μαϊμούδες δε θα αργήσουν να εμφανιστούν, κ τότε οι χρήστες του Mint θα έχουν ήδη "κακομάθει".

Έχω δίκιο σε αυτά που λέω; Το έχετε παρατηρήσει κ εσείς; Μήπως υπάρχουν κάπου αυτά τα κλειδιά κ δεν τα είδα; Κ τέλος, μπορούμε να κάνουμε κάτι γι'αυτό;

Φόρουμ
Δώσε αστέρια!

MO: (ψήφοι: 0)

Σχόλια

Για του λόγου το αληθές, ορίστε τι κλειδιά βλέπω εγκατεστημένα με το livecd του Mint 6:


$>sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub 1024D/437D05B5 2004-09-12
uid Ubuntu Archive Automatic Signing Key
sub 2048g/79164387 2004-09-12

pub 1024D/FBB75451 2004-12-30
uid Ubuntu CD Image Automatic Signing Key

pub 1024D/0C5A2783 2006-11-23
uid Medibuntu Packaging Team
uid The Medibuntu Team
sub 2048g/16C7105A 2006-11-23

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

Εγώ πραγματικά δεν είχα ιδέα για αυτό που λες.Θα σου ήμουν ευγνώμον αν προωθούσες αυτό το ζήτημα στον Clem να δούμε τι έχει να πει.

Are you ready to Mint? <==linuxmint.com==>

Kaltsinho]Εγώ πραγματικά δεν είχα ιδέα για αυτό που λες.Θα σου ήμουν ευγνώμον αν προωθούσες αυτό το ζήτημα στον Clem να δούμε τι έχει να πει.

Are you ready to Mint? <==linuxmint.com==>

Το έχεις δει όμως κ εσύ; Όταν κάνεις update σου πετάει προειδοποίηση ότι κάποια πακέτα δεν έχουν υπογραφή;

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

γιά να μπω καί γω στην μέση.... όχι βρε παληκάρια. δεν μού τόκανε ποτέ (από όσο θυμάμαι) λαί ούτε σήμερα μετά το διάβασμα τού θέματος πού μπήκα καί έκανα "επίτηδες" update.

====

the hamster's is out there

http://hamster.tuxhost.gr/

γιά να μπω καί γω στην μέση.... όχι βρε παληκάρια. δεν μού τόκανε ποτέ (από όσο θυμάμαι) καί ούτε σήμερα μετά το διάβασμα τού θέματος πού μπήκα καί έκανα "επίτηδες" update.

====

the hamster's is out there

http://hamster.tuxhost.gr/

Βασικά οταν το διάβασα ρώτησα έναν φίλο μου που μόλις είχε τελειώσει fresh install felicia και μου είπε οτι ισχύει.Οταν θα είναι έτοιμη η 64-bit felicia θα το δοκιμάσω και θα ενδιαφερθώ πιο πολύ πάνω στο θέμα.

Are you ready to Mint? <==linuxmint.com==>

alfisti]

γιά να μπω καί γω στην μέση.... όχι βρε παληκάρια. δεν μού τόκανε ποτέ (από όσο θυμάμαι) καί ούτε σήμερα μετά το διάβασμα τού θέματος πού μπήκα καί έκανα "επίτηδες" update.

====

the hamster's is out there

http://hamster.tuxhost.gr/

Alfisti, έχεις Mint 6; Μπορείς να δώσεις ένα:

sudo apt-key list

να δούμε τι κλειδιά έχεις εσύ κ δε στο βγάζει; Επίσης, απ'ό,τι είχα δει τα αποθετήρια του Mint έχουν ελάχιστα πακέτα, τα περισσότερα είναι κατ'ευθείαν από ubuntu 8.10, οπότε είναι λογικό να το βλέπεις σπάνια. Σίγουρα όμως το είδα αμέσως μετά την εγκατάσταση, στο πρώτο update.

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

γιατί όχι?

/etc/apt/trusted.gpg
--------------------
pub 1024D/437D05B5 2004-09-12
uid Ubuntu Archive Automatic Signing Key
sub 2048g/79164387 2004-09-12

pub 1024D/FBB75451 2004-12-30
uid Ubuntu CD Image Automatic Signing Key

pub 1024D/12B83718 2006-06-20
uid Lionel Le Folgoc (mr_pouit)
uid Lionel Le Folgoc (Penguin Liberation Front)
uid Lionel Le Folgoc
sub 2048g/810AB006 2006-06-20

pub 1024D/DD4D5088 2001-10-09
uid Jonathan Riddell
uid Jonathan Riddell
uid Jonathan Riddell (University Address)
sub 1024g/D9F04547 2001-10-09

pub 1024D/0C5A2783 2006-11-23
uid Medibuntu Packaging Team
uid The Medibuntu Team
sub 2048g/16C7105A 2006-11-23

εντάξει, ναί, μπορεί να έχεις δίκιο, γιατί σχεδόν όλες οί αναβαθμίσεις είναι ίδιες με το ubuntu. (αναβαθμίζω καί τα 2, καί ότι έχει το ubuntu έχει καί το mint).

στην αρχή δεν θυμαμαι τι είχε γίνει, γιατί το 6 προήλθε από upgrade -πού να θυμάμαι λοιπόν?

====

the hamster's is out there

http://hamster.tuxhost.gr/

Ναι, ούτε εσύ Alfisti έχεις κλειδιά του Mint.

Εκτός κ αν κάποιος έχει να προσθέσει κάτι, μάλλον είναι ώρα να θέσω το ζήτημα στο forum του Mint...

edit: Η συνέχεια, για όποιον ενδιαφέρεται, εδώ.

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

gnu_labis].Tότε κατάλαβα γιατί δεν τα είχαν βάλει εξαρχής: γιατί δεν υπάρχουν!

Πώς είναι δυνατόν μια σοβαρή διανομή να μην υπογράφει τα πακέτα της :?

Το θεωρώ σημαντικό γιατί πχ ο πατέρας μου (ο χρήστης αυτής της εγκατάστασης του Mint που έκανα) αποκτά ήδη το πολύ κακό συνήθειο να αγνοεί την παραπάνω προειδοποίηση του διαχειριστή πακέτων, κ απλά πατάει ok. Στην πραγματικότητα όμως, μαθαίνοντας να πατάμε τυφλά ok, καταργούμε την ασφάλεια που εισάγουν οι υπογραφές αυτές.

Σήμερα δεν είναι κ τόσο σημαντικό θέμα. Αύριο-μεθαύριο όμως, με δεδομένη την ραγδαία εξάπλωση του linux, οι κακόβουλοι με αποθετήρια-μαϊμούδες δε θα αργήσουν να εμφανιστούν, κ τότε οι χρήστες του Mint θα έχουν ήδη "κακομάθει".

Μπράβο gnu_labis...  Αν και έχω Ubuntu ... παρακολουθώ το "θέμα" σου και εδώ και στο official... για να δούμε τι θα πούν και αυτοί...

gnu_labis, αυτό που σου λένε στο άλλο thread, ότι δήθεν τα πακέτα του Ubuntu είναι ανυπόγραφα (ή ότι "κάποια" είναι ανυπόγραφα) είναι πατάτα. Ακόμα και ένα απλό πακετάκι να θες να ανεβάσεις στο PPA σου (στο Launchpad) δηλαδή πρέπει α) να είσαι Ubuntero, δηλαδη να έχεις υπογράφει το Code of Conduct, β) να έχεις ανεβάσει τα κλειδιά σου στον pgp server της Canonical, και γ) να υπογράψεις _κάθε_ένα_ tarball που θα ανεβάσεις στο PPA για να γίνει πακέτο. Όλα τα πακέτα _που κατεβαίνουν από αποθετήρια_ του Ubuntu ή από PPA χρηστών έχουν περάσει αντίστοιχη διαδικασία και είναι ενυπόγραφα.

--
"Είναι μια χώρα που με διώχνει μακριά
με κλοτσάει με τα σκυλιά και τους λεπρούς της
και χτίζει γύρω μου τείχη και κελιά
για να πετάει τους νόθους γιους της." (ΔΚ)

Δεν εκπλήσομαι καθόλου. Εγώ πριν τις γιορτές ανακάλυψα "παράλειψη" στο SSL authentication του Google!!!
Τους ενημέρωσα σχετικά, τους υπέδειξα το λάθος και σε 1 μήνα με ενημέρωσαν ότι διορθώθηκε και με ευχαρίστησαν!

Απ'ότι βλέπω τόσες μέρες υπάρχει μια .... χλαρότητα σε αυτο το θέμα του gnu_labis απο τους dev του Mint... κρίμα... το ζήτημα δεν έιναι του "δε βαριέσαι".. θέλει υπευθυνότητα.

Aye, κάτι τέτοιο βλέπω κ εγώ φίλε Cortex. Επειδή όμως τα παληκάρια το κάνουν εθελοντικά, δεν μπορείς να τους πεις κ τίποτα. Όσο χρόνο έχουν το διαθέτουν σε ό,τι αυτοί κρίνουν σημαντικό.

Εγώ πάντως (προφανώς) δε το βάζω κάτω. Έχω κάνει τη σχετική έρευνα κ έχω αρχίσει το διάβασμα. Ευσεβής πόθος να τους σερβίρω τη λύση στο πιάτο, κ αν θέλουν, ας τη χρησιμοποιήσουν.

Έχει κανείς εμπειρία από στήσιμο repository με υπογεγραμμένα πακέτα; Στη θεωρία έχω βρει αρκετά, απλά ρωτάω αν κάποιος το έχει κάνει στη πράξη...

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

gnulabis]Έχει κανείς εμπειρία από στήσιμο repository με υπογεγραμμένα πακέτα;
Στη θεωρία έχω βρει αρκετά, απλά ρωτάω αν κάποιος το έχει κάνει στη
πράξη...

-- gnu_labis

Μπααααα.... εγκό μόνο κκλικ κανει... οκ.. λεει... και ανοιγκει προγκραμα... ΟΥΓΚ !!! }:)

off topic: το "εγκό" είναι με ωμέγα.

====

the hamster's is out there

http://hamster.tuxhost.gr/

alfisti]off topic: το "εγκό" είναι με ωμέγα.

... ΟΥΓΚ ... πάρει ρόπαλο... μπούμ στον εξωτερικό σκληρό alfisti... χάσει partitions, χάσει διανομές, κλάψει alfisti ... ΟΥΓΚ !!!!

Έπειτα από ανταλλαγή κάποιων email με τους developers του Mint, έχω νέα...

Στη πορεία βρήκαμε πάνω-κάτω πώς στήνεται ένα ασφαλές repository, κ o Clem πείστηκε ότι αξίζει τον κόπο, όποτε κατέληξε στο ότι θα το βάλει στο Mint 7, μαζί με οδηγίες για όσους θέλουν να μείνουν σε παλιότερες εκδόσεις.

Μεταξύ άλλων, ένα ενδιαφέρον σχόλιο του ήταν περί στατιστικών των χρηστών του Mint: ένα 30-40%, λέει, δεν κάνουν update ποτέ. Ο μόνος λόγος για τον οποίο έρχονται σε επαφή με το Apt, είναι για να εγκαταστήσουν νέα προγράμματα. Ακόμα, ένα 10% των χρηστών περίπου, χρησιμοποιούν ακόμα Mint 4.

Αυτά. Οπότε αναμείνατε στο ακουστικό σας :)

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

gnu_labis]Έπειτα από ανταλλαγή κάποιων email με τους developers του Mint, έχω νέα...

Στη πορεία βρήκαμε πάνω-κάτω πώς στήνεται ένα ασφαλές repository, κ o Clem πείστηκε ότι αξίζει τον κόπο, όποτε κατέληξε στο ότι θα το βάλει στο Mint 7, μαζί με οδηγίες για όσους θέλουν να μείνουν σε παλιότερες εκδόσεις.

Μεταξύ άλλων, ένα ενδιαφέρον σχόλιο του ήταν περί στατιστικών των χρηστών του Mint: ένα 30-40%, λέει, δεν κάνουν update ποτέ. Ο μόνος λόγος για τον οποίο έρχονται σε επαφή με το Apt, είναι για να εγκαταστήσουν νέα προγράμματα. Ακόμα, ένα 10% των χρηστών περίπου, χρησιμοποιούν ακόμα Mint 4.

Αυτά. Οπότε αναμείνατε στο ακουστικό σας :)

Ένα μπράβο απο μένα για την επιμονή και υπομονή σου. Άλλη μια διανομή σώθηκε απο ενα πιθανό μελλοντικό ξέσπασμα κακόβουλων λογισμικών / repositories ! .... Και τα στατιστικά  που μας δίνεις είναι όντως περίεργα.... χωρίς update/upgrade πως ζούνε ?? Επομένως για έναν τέτοιο κύκλο χρηστών που δεν διασφαλίζουν με συχνες αναβαθμίσεις οτι το σύστημα τους είναι ασφαλές , η ύπαρξη unsigned repo θα μπορούσε κάποια στιγμή να ήταν καταστροφική !!!

~~~~~~~~~~~~~~~

Αρχάριοι του forum ενωθείτε... βροντοφωνάξτε :

Συγνώμη...επειδή είμαι αρχάριος...πείτε πως θα το κάνω μεσα απο το γραφικό περιβάλλον ?

http://cerebrux.synthasite.com/

Σήμερα κατέβασα το Mint 7 XFCE community edition RC1 κ το έβαλα σε ένα παλιό μηχανάκι (AMD Duron@800MHz, 256MB μνήμη).

Το σύστημα πάει καλά κ είμαι πολύ χαρούμενος, αλλά ακόμα περισσότερο χαρούμενος είμαι γιατί είδα ότι πράγματι ο Clem πλέον υπογράφει τα επίσημα πακέτα του Mint.

Ορίστε κ η απόδειξη:

dimitris@Rietveld ~ $ sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/437D05B5 2004-09-12
uid                  Ubuntu Archive Automatic Signing Key <[email protected]>
sub   2048g/79164387 2004-09-12

pub   1024D/FBB75451 2004-12-30
uid                  Ubuntu CD Image Automatic Signing Key <[email protected]>

pub   1024D/0FF405B2 2009-04-29
uid                  Clement Lefebvre (Linux Mint Package Repository v1) <[email protected]>
sub   2048g/0F346519 2009-04-29

pub   1024D/0C5A2783 2006-11-23
uid                  Medibuntu Packaging Team <[email protected]>
uid                  The Medibuntu Team <[email protected]>
sub   2048g/16C7105A 2006-11-23

Συγκρίνετε τα με αυτά που είχα δηλώσει παραπάνω, όταν δοκίμαζα το Mint 6.

Τέλος καλό, όλα καλά λοιπόν

-- gnu_labis

Το Linux ΔΕΝ είναι Windows!!!

Αυτό σημαίνει ότι το Mint έχει αρχίσει πλέον να γίνεται αληθινά ξεχωριστή διανομή. Όχι ένας απλός κλώνος του Ubuntu.

 

--ΔΚ