Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Oneget: Paketmanager von…

Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

  1. Thema

Neues Thema Ansicht wechseln


  1. Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: stiGGG 28.10.14 - 14:48

    In anderen Kommentaren zu diesen Artikel las ich wieder, dass Fremdrepositories unter Linux auf Grund Paketsignaturen keine große Gefahr darstellen.
    Als ich selbst noch Linux benutzte, gab es mal einen Fall wo ein Betreiber eines beliebten Fremdrepository unter Ubuntu die Default Wallpaper des damaliger Default Desktops GNOME durch einen Totenkopf ersetzt hatte mit dem Hinweis, dass Fremdrepositories gefährlich sind. Sollte die Nutzer daran erinnern wie heikel das einbinden von Fremdrepositories ins System ist. Paketsignaturen gab es damals schon, das ganze ist allerdings schon viele Jahre her. Hat sich diesbezüglich was geändert bei Apt bzw verhindern Package Manager anderer Distris sowas, also dass ein Paket ein File eines anderen Pakets überschreibt? Wenn ja, wird auch verhindert, dass ein Paket ein Script installiert welches dann ein anderes File (zb im schlimmsten Fall den Kernel) austauscht , entweder in dem das Script direkt vom Install-Script im Paket ausgeführt wird oder wenn in diesem Kontext noch Prüfungen stattfinden, dieses auf andere weise ausgeführt wird zB in dem es in Cron hinzugefügt wird oder ähnliche Tricks?

  2. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 14:56

    Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit schlecht.

  3. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Nephtys 28.10.14 - 15:05

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit
    > schlecht.

    +1
    Gut argumentiert, korrekte Antwort, und sogar den Grund für die Situation aufgelistet.

    Ob Microsoft hier ggf. Zertifikate benutzt ist noch unklar.

  4. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 15:10

    Nephtys schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit
    > > schlecht.
    >
    > +1
    > Gut argumentiert, korrekte Antwort, und sogar den Grund für die Situation
    > aufgelistet.

    Das ist die Antwort aber dennoch halte ich es für Falsch.

    > Ob Microsoft hier ggf. Zertifikate benutzt ist noch unklar.

    Würde ich begrüßen. Ich würde es wohl nicht nutzen, wenn ein anderes Repo mir einfach Anwendungen ersetzt, wofür es nicht gedacht ist.

    Nehmen wir mal an, Chip.de erstellt ein eigenes Repo. Ich füge es bei mir ein und er ersetzt mir direkt den VLC durch die eigene, vermeintlich neuere Version + Crapware.

    Vielleicht könnte sich das System auch merken von welchem Repo ich ein Paket bekommen habe, und eine andere Quelle erst mal deaktiviert.

  5. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pi@raspberry 28.10.14 - 15:16

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Nehmen wir mal an, Chip.de erstellt ein eigenes Repo. Ich füge es bei mir
    > ein und er ersetzt mir direkt den VLC durch die eigene, vermeintlich neuere
    > Version + Crapware.
    Das ist aber der Sinn von fremden Repos, Software die in den Repos der Distri nur veraltet verfügbar ist zu aktualisieren. Bsp.: Gimp unter Ubuntu 12.04, war nur die 2.6 verfügbar. Da musste man für die 2.8 ein Repo hinzufügen, welches dem mit der alten Version vorgezogen wurde.



    1 mal bearbeitet, zuletzt am 28.10.14 15:16 durch pi@raspberry.

  6. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 15:21

    pi@raspberry schrieb:
    --------------------------------------------------------------------------------
    > Bsp.: Gimp unter Ubuntu
    > 12.04, war nur die 2.6 verfügbar. Da musste man für die 2.8 ein Repo
    > hinzufügen, welches dem mit der alten Version vorgezogen wurde.

    Das sagst du einem Betroffenen. Eigentlich bekomme ich alle Anwendungen, die ich benötige inzwischen von einem Fremdrepo.

    Eine Trennung zwischen System und Anwendung wäre wünschenswert.

    > Das ist aber der Sinn von fremden Repos, Software die in den Repos der
    > Distri nur veraltet verfügbar ist zu aktualisieren.

    Dennoch könnte einem das System darauf hinweisen und nach einer Ausnahme für dieses Paket verlangen.

  7. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: stiGGG 28.10.14 - 15:29

    Nephtys schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit
    > > schlecht.
    >
    > +1
    > Gut argumentiert, korrekte Antwort, und sogar den Grund für die Situation
    > aufgelistet.

    Ist das Sarkasmus?
    Wenn Linux einen ernstzunehmenden Marktanteil am Desktop hätte wäre diese Lücke das Haupteinfallstor um sämtliche von unbedarften Nutzern verwendeten Rechnern in Bots zu verwandeln. Es würden sich PPAs nach dem Motto "Funky New Wallpaper" oder "Whatsapp for Linux" nur so stapeln, die nebenbei mal eben auch noch einen neuen Kernel installieren.

  8. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: narea 28.10.14 - 17:24

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Wenn Linux einen ernstzunehmenden Marktanteil am Desktop hätte wäre diese
    > Lücke das Haupteinfallstor um sämtliche von unbedarften Nutzern verwendeten
    > Rechnern in Bots zu verwandeln. Es würden sich PPAs nach dem Motto "Funky
    > New Wallpaper" oder "Whatsapp for Linux" nur so stapeln, die nebenbei mal
    > eben auch noch einen neuen Kernel installieren.

    Das wäre ja fast so, als würde man einfach eine exe Doppelklicken, die die Registry aufräumen soll und Windows schneller macht oder gar Britney nackt zeigt. Stell dir mal vor, was los wäre, würde sowas möglich sein irgendwann.

  9. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: lear 28.10.14 - 17:28

    *JEDES* Repo das Kompilate mit eigenen Hashes (also kein reiner distro server) anbietet ist Vertrauenssache.

    Warum vertraust Du SuSE, RedHat oder Canonical? Oder den Debian Maintainern?
    Jeder von denen kann beliebigen, vom upstream abweichenden, Müll ausliefern.

    Wenn Du irgendwo ein 3. Repo einbindest, mußt Du dem Repoverwalter absolutes Vertrauen entgegenbringen.

    Die Alternative sind Gentoo (kompiliere alles...) resp. Arch/AUR (kompiliere alles..., was nicht in den off. repos ist aus den upstream Quellen - mit nachvollziehbarem buildscript)

  10. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: stiGGG 28.10.14 - 18:17

    narea schrieb:
    --------------------------------------------------------------------------------
    > Das wäre ja fast so, als würde man einfach eine exe Doppelklicken, die die
    > Registry aufräumen soll und Windows schneller macht oder gar Britney nackt
    > zeigt. Stell dir mal vor, was los wäre, würde sowas möglich sein
    > irgendwann.

    Wieso wird eigentlich jedes mal, wenn man etwas an Linux bzw dessen Distribution kritisiert, ein anderes total kaputtes OS als Beispiel herangezogen, wo Sachen genauso schlimm bzw. noch schlimmer sind? Das ist doch überhaupt nicht das Thema.

  11. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: narea 28.10.14 - 18:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Wieso wird eigentlich jedes mal, wenn man etwas an Linux bzw dessen
    > Distribution kritisiert, ein anderes total kaputtes OS als Beispiel
    > herangezogen, wo Sachen genauso schlimm bzw. noch schlimmer sind? Das ist
    > doch überhaupt nicht das Thema.

    Um dir aufzuzeigen, wie unsinnig deine Argumentation ist.
    Wenn wohl auch erfolglos.

  12. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pi@raspberry 28.10.14 - 18:31

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Dennoch könnte einem das System darauf hinweisen und nach einer Ausnahme
    > für dieses Paket verlangen.

    Ok, das stell ich mir in der Kommandozeile aber schon wieder blöd vor.

  13. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 19:03

    pi@raspberry schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dennoch könnte einem das System darauf hinweisen und nach einer Ausnahme
    > > für dieses Paket verlangen.
    >
    > Ok, das stell ich mir in der Kommandozeile aber schon wieder blöd vor.

    Das ist doch nur ein mal eine Frage am Anfang.

    1. Ich füge das Repo hinzu
    2. Ich sage er soll gimp einfach noch mal installieren.
    3. Sicherheitsfrage da es eine andere quelle ist j/N
    4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit akzeptiert.

  14. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pythoneer 28.10.14 - 20:33

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > 1. Ich füge das Repo hinzu
    > 2. Ich sage er soll gimp einfach noch mal installieren.
    > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > akzeptiert.

    Klingt beim ersten lesen völlig sinnlos.

  15. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Cöcönut 28.10.14 - 20:38

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > 1. Ich füge das Repo hinzu
    > 2. Ich sage er soll gimp einfach noch mal installieren.
    > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > akzeptiert.

    sudo nano /etc/apt/sources.list
    ...anpassen...
    sudo apt-get update
    sudo apt-get install -t=jessie gimp

  16. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Katsuragi 28.10.14 - 20:44

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Nehmen wir mal an, Chip.de erstellt ein eigenes Repo. Ich füge es bei mir
    > ein und er ersetzt mir direkt den VLC durch die eigene, vermeintlich neuere
    > Version + Crapware.
    >
    > Vielleicht könnte sich das System auch merken von welchem Repo ich ein
    > Paket bekommen habe, und eine andere Quelle erst mal deaktiviert.

    Zypper unter openSuSE macht das genau so.
    Es merkt sich aus welchem Repository ein Paket ursprünglich installiert wurde und aktualisiert es dann auch nur aus den zugehörigen Paket-Quellen. Wenn ein anderes Repository versucht so ein Paket zu "aktualisieren", dann warnt der Paketmanager und man muss als Nutzer dem "Anbieterwechsel" explizit zustimmen.

    Ob man das allerdings umgehen kann indem ein Fremd-Paket einfach eine _Datei_ eines anderen Pakets ersetze, das weiß ich nicht. Ich würde mal vermuten, dass RPM etwas dagegen hätte, aber sicher bin ich mir nicht.

  17. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pi@raspberry 28.10.14 - 20:45

    Cöcönut schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > 1. Ich füge das Repo hinzu
    > > 2. Ich sage er soll gimp einfach noch mal installieren.
    > > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > > akzeptiert.
    >
    > sudo nano /etc/apt/sources.list
    > ...anpassen...
    > sudo apt-get update
    > sudo apt-get install -t=jessie gimp

    Nein, ursprünglich ging es darum, das jemand Software mit Crapware verseucht und es dann in seiner Repo als neue Version ausgibt. Dann bekommen alle mit dieser Repo beim Update die verseuchte Software. So etwas sollte von alleine verhindert werden und nicht manuell für jedes Paket.

  18. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Cöcönut 28.10.14 - 20:50

    pi@raspberry schrieb:
    --------------------------------------------------------------------------------
    > Cöcönut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > nille02 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > 1. Ich füge das Repo hinzu
    > > > 2. Ich sage er soll gimp einfach noch mal installieren.
    > > > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > > > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > > > akzeptiert.
    > >
    > > sudo nano /etc/apt/sources.list
    > > ...anpassen...
    > > sudo apt-get update
    > > sudo apt-get install -t=jessie gimp
    >
    > Nein, ursprünglich ging es darum, das jemand Software mit Crapware
    > verseucht und es dann in seiner Repo als neue Version ausgibt. Dann
    > bekommen alle mit dieser Repo beim Update die verseuchte Software. So etwas
    > sollte von alleine verhindert werden und nicht manuell für jedes Paket.

    Ich hab das Gespräch vollständig gelesen. Deine Vorstellung hat aber ein Problem. Woher soll jetzt die Software wissen dass Crapware in dem Repo ist? Wenn du dich Admin/Root nennst solltest du wissen was du tust, das Denken kann dir keine Software abnehmen. Dazu zählt auch die Verantwortung die man auf sich nimmt wenn man ein anderes Repo zu seinem System hinzufügt. Mit "-t=..." gibst du ja explizit an dass du eine bestimmte Quelle verwenden willst.

  19. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pythoneer 28.10.14 - 20:59

    Cöcönut schrieb:
    --------------------------------------------------------------------------------
    > Ich hab das Gespräch vollständig gelesen. Deine Vorstellung hat aber ein
    > Problem. Woher soll jetzt die Software wissen dass Crapware in dem Repo
    > ist? Wenn du dich Admin/Root nennst solltest du wissen was du tust, das
    > Denken kann dir keine Software abnehmen. Dazu zählt auch die Verantwortung
    > die man auf sich nimmt wenn man ein anderes Repo zu seinem System
    > hinzufügt. Mit "-t=..." gibst du ja explizit an dass du eine bestimmte
    > Quelle verwenden willst.

    Sein Versuch in allen Ehren, aber er hat es einfach noch nicht vollständig durchdacht – darum fand ich es ja auch sinnlos.

  20. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Sharra 28.10.14 - 21:38

    Entweder ich nutze nur die Repositorys vom Maintainer, der dann auch drauf achten sollte, dass nichts durchrutscht (was eine große Aufgabe ist, grade wenns um Fremdsoftware geht), oder ich kümmere mich selbst drum, dass ich keinen Mist mitinstalliere und achte drauf, woher ich mein Zeug beziehe.

    Der Unterschied zwischen einem Paketmanager, und Softwaredownloads von Webseiten ist nur das Medium an sich. Bei beiden ist man User angehalten das Hirn nicht in der Rundablage zu parken.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, München
  2. Valeo Siemens eAutomotive Germany GmbH, Erlangen
  3. VALEO GmbH, Friedrichsdorf
  4. INIT Group, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 127,99€ (Bestpreis!)
  2. 259€ + Versand oder kostenlose Marktabholung
  3. 349,00€
  4. 274,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

  1. Telefónica: Software-Fehler beschert O2-Kunden erhöhtes Datenvolumen
    Telefónica
    Software-Fehler beschert O2-Kunden erhöhtes Datenvolumen

    Telefónica gibt sich kulant. Der Mobilfunknetzbetreiber hatte einigen O2-Kunden aufgrund eines Software-Fehlers ein doppelt so hohes ungedrosseltes Datenvolumen angezeigt. Als Reaktion erhalten die betroffenen Kunden das erhöhte Datenvolumen.

  2. Elektroauto-Sounddesign: Und der Benz macht leise "wuuuuh"
    Elektroauto-Sounddesign
    Und der Benz macht leise "wuuuuh"

    Daimler hat die Töne präsentiert, die Elektroautos bei langsamer Fahrt künftig in den USA und in Europa künstlich produzieren, um andere Verkehrsteilnehmer über ihre Präsenz zu informieren. Das Rückwärtsfahren bietet Diskussionsstoff.

  3. Nach Kartellamtskritik: Amazon ändert Umgang mit Marketplace-Händlern
    Nach Kartellamtskritik
    Amazon ändert Umgang mit Marketplace-Händlern

    Das Onlinekaufhaus Amazon ändert auf Druck des Bundeskartellamts seinen Umgang mit Händlern, die über Marketplace ihre Produkte verkaufen. Im Gegenzug wird ein sogenanntes Missbrauchsverfahren eingestellt.


  1. 08:47

  2. 08:32

  3. 07:53

  4. 07:36

  5. 07:15

  6. 20:10

  7. 18:33

  8. 17:23