1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Oneget: Paketmanager von…

Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

  1. Thema

Neues Thema Ansicht wechseln


  1. Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: stiGGG 28.10.14 - 14:48

    In anderen Kommentaren zu diesen Artikel las ich wieder, dass Fremdrepositories unter Linux auf Grund Paketsignaturen keine große Gefahr darstellen.
    Als ich selbst noch Linux benutzte, gab es mal einen Fall wo ein Betreiber eines beliebten Fremdrepository unter Ubuntu die Default Wallpaper des damaliger Default Desktops GNOME durch einen Totenkopf ersetzt hatte mit dem Hinweis, dass Fremdrepositories gefährlich sind. Sollte die Nutzer daran erinnern wie heikel das einbinden von Fremdrepositories ins System ist. Paketsignaturen gab es damals schon, das ganze ist allerdings schon viele Jahre her. Hat sich diesbezüglich was geändert bei Apt bzw verhindern Package Manager anderer Distris sowas, also dass ein Paket ein File eines anderen Pakets überschreibt? Wenn ja, wird auch verhindert, dass ein Paket ein Script installiert welches dann ein anderes File (zb im schlimmsten Fall den Kernel) austauscht , entweder in dem das Script direkt vom Install-Script im Paket ausgeführt wird oder wenn in diesem Kontext noch Prüfungen stattfinden, dieses auf andere weise ausgeführt wird zB in dem es in Cron hinzugefügt wird oder ähnliche Tricks?

  2. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 14:56

    Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit schlecht.

  3. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Nephtys 28.10.14 - 15:05

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit
    > schlecht.

    +1
    Gut argumentiert, korrekte Antwort, und sogar den Grund für die Situation aufgelistet.

    Ob Microsoft hier ggf. Zertifikate benutzt ist noch unklar.

  4. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 15:10

    Nephtys schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit
    > > schlecht.
    >
    > +1
    > Gut argumentiert, korrekte Antwort, und sogar den Grund für die Situation
    > aufgelistet.

    Das ist die Antwort aber dennoch halte ich es für Falsch.

    > Ob Microsoft hier ggf. Zertifikate benutzt ist noch unklar.

    Würde ich begrüßen. Ich würde es wohl nicht nutzen, wenn ein anderes Repo mir einfach Anwendungen ersetzt, wofür es nicht gedacht ist.

    Nehmen wir mal an, Chip.de erstellt ein eigenes Repo. Ich füge es bei mir ein und er ersetzt mir direkt den VLC durch die eigene, vermeintlich neuere Version + Crapware.

    Vielleicht könnte sich das System auch merken von welchem Repo ich ein Paket bekommen habe, und eine andere Quelle erst mal deaktiviert.

  5. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pi@raspberry 28.10.14 - 15:16

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Nehmen wir mal an, Chip.de erstellt ein eigenes Repo. Ich füge es bei mir
    > ein und er ersetzt mir direkt den VLC durch die eigene, vermeintlich neuere
    > Version + Crapware.
    Das ist aber der Sinn von fremden Repos, Software die in den Repos der Distri nur veraltet verfügbar ist zu aktualisieren. Bsp.: Gimp unter Ubuntu 12.04, war nur die 2.6 verfügbar. Da musste man für die 2.8 ein Repo hinzufügen, welches dem mit der alten Version vorgezogen wurde.



    1 mal bearbeitet, zuletzt am 28.10.14 15:16 durch pi@raspberry.

  6. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 15:21

    pi@raspberry schrieb:
    --------------------------------------------------------------------------------
    > Bsp.: Gimp unter Ubuntu
    > 12.04, war nur die 2.6 verfügbar. Da musste man für die 2.8 ein Repo
    > hinzufügen, welches dem mit der alten Version vorgezogen wurde.

    Das sagst du einem Betroffenen. Eigentlich bekomme ich alle Anwendungen, die ich benötige inzwischen von einem Fremdrepo.

    Eine Trennung zwischen System und Anwendung wäre wünschenswert.

    > Das ist aber der Sinn von fremden Repos, Software die in den Repos der
    > Distri nur veraltet verfügbar ist zu aktualisieren.

    Dennoch könnte einem das System darauf hinweisen und nach einer Ausnahme für dieses Paket verlangen.

  7. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: stiGGG 28.10.14 - 15:29

    Nephtys schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt nichts was das verhindert. Alles andere wäre Bevormundung und damit
    > > schlecht.
    >
    > +1
    > Gut argumentiert, korrekte Antwort, und sogar den Grund für die Situation
    > aufgelistet.

    Ist das Sarkasmus?
    Wenn Linux einen ernstzunehmenden Marktanteil am Desktop hätte wäre diese Lücke das Haupteinfallstor um sämtliche von unbedarften Nutzern verwendeten Rechnern in Bots zu verwandeln. Es würden sich PPAs nach dem Motto "Funky New Wallpaper" oder "Whatsapp for Linux" nur so stapeln, die nebenbei mal eben auch noch einen neuen Kernel installieren.

  8. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: narea 28.10.14 - 17:24

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Wenn Linux einen ernstzunehmenden Marktanteil am Desktop hätte wäre diese
    > Lücke das Haupteinfallstor um sämtliche von unbedarften Nutzern verwendeten
    > Rechnern in Bots zu verwandeln. Es würden sich PPAs nach dem Motto "Funky
    > New Wallpaper" oder "Whatsapp for Linux" nur so stapeln, die nebenbei mal
    > eben auch noch einen neuen Kernel installieren.

    Das wäre ja fast so, als würde man einfach eine exe Doppelklicken, die die Registry aufräumen soll und Windows schneller macht oder gar Britney nackt zeigt. Stell dir mal vor, was los wäre, würde sowas möglich sein irgendwann.

  9. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: lear 28.10.14 - 17:28

    *JEDES* Repo das Kompilate mit eigenen Hashes (also kein reiner distro server) anbietet ist Vertrauenssache.

    Warum vertraust Du SuSE, RedHat oder Canonical? Oder den Debian Maintainern?
    Jeder von denen kann beliebigen, vom upstream abweichenden, Müll ausliefern.

    Wenn Du irgendwo ein 3. Repo einbindest, mußt Du dem Repoverwalter absolutes Vertrauen entgegenbringen.

    Die Alternative sind Gentoo (kompiliere alles...) resp. Arch/AUR (kompiliere alles..., was nicht in den off. repos ist aus den upstream Quellen - mit nachvollziehbarem buildscript)

  10. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: stiGGG 28.10.14 - 18:17

    narea schrieb:
    --------------------------------------------------------------------------------
    > Das wäre ja fast so, als würde man einfach eine exe Doppelklicken, die die
    > Registry aufräumen soll und Windows schneller macht oder gar Britney nackt
    > zeigt. Stell dir mal vor, was los wäre, würde sowas möglich sein
    > irgendwann.

    Wieso wird eigentlich jedes mal, wenn man etwas an Linux bzw dessen Distribution kritisiert, ein anderes total kaputtes OS als Beispiel herangezogen, wo Sachen genauso schlimm bzw. noch schlimmer sind? Das ist doch überhaupt nicht das Thema.

  11. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: narea 28.10.14 - 18:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Wieso wird eigentlich jedes mal, wenn man etwas an Linux bzw dessen
    > Distribution kritisiert, ein anderes total kaputtes OS als Beispiel
    > herangezogen, wo Sachen genauso schlimm bzw. noch schlimmer sind? Das ist
    > doch überhaupt nicht das Thema.

    Um dir aufzuzeigen, wie unsinnig deine Argumentation ist.
    Wenn wohl auch erfolglos.

  12. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pi@raspberry 28.10.14 - 18:31

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Dennoch könnte einem das System darauf hinweisen und nach einer Ausnahme
    > für dieses Paket verlangen.

    Ok, das stell ich mir in der Kommandozeile aber schon wieder blöd vor.

  13. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: nille02 28.10.14 - 19:03

    pi@raspberry schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dennoch könnte einem das System darauf hinweisen und nach einer Ausnahme
    > > für dieses Paket verlangen.
    >
    > Ok, das stell ich mir in der Kommandozeile aber schon wieder blöd vor.

    Das ist doch nur ein mal eine Frage am Anfang.

    1. Ich füge das Repo hinzu
    2. Ich sage er soll gimp einfach noch mal installieren.
    3. Sicherheitsfrage da es eine andere quelle ist j/N
    4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit akzeptiert.

  14. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pythoneer 28.10.14 - 20:33

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > 1. Ich füge das Repo hinzu
    > 2. Ich sage er soll gimp einfach noch mal installieren.
    > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > akzeptiert.

    Klingt beim ersten lesen völlig sinnlos.

  15. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Cöcönut 28.10.14 - 20:38

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > 1. Ich füge das Repo hinzu
    > 2. Ich sage er soll gimp einfach noch mal installieren.
    > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > akzeptiert.

    sudo nano /etc/apt/sources.list
    ...anpassen...
    sudo apt-get update
    sudo apt-get install -t=jessie gimp

  16. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Katsuragi 28.10.14 - 20:44

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Nehmen wir mal an, Chip.de erstellt ein eigenes Repo. Ich füge es bei mir
    > ein und er ersetzt mir direkt den VLC durch die eigene, vermeintlich neuere
    > Version + Crapware.
    >
    > Vielleicht könnte sich das System auch merken von welchem Repo ich ein
    > Paket bekommen habe, und eine andere Quelle erst mal deaktiviert.

    Zypper unter openSuSE macht das genau so.
    Es merkt sich aus welchem Repository ein Paket ursprünglich installiert wurde und aktualisiert es dann auch nur aus den zugehörigen Paket-Quellen. Wenn ein anderes Repository versucht so ein Paket zu "aktualisieren", dann warnt der Paketmanager und man muss als Nutzer dem "Anbieterwechsel" explizit zustimmen.

    Ob man das allerdings umgehen kann indem ein Fremd-Paket einfach eine _Datei_ eines anderen Pakets ersetze, das weiß ich nicht. Ich würde mal vermuten, dass RPM etwas dagegen hätte, aber sicher bin ich mir nicht.

  17. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pi@raspberry 28.10.14 - 20:45

    Cöcönut schrieb:
    --------------------------------------------------------------------------------
    > nille02 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > 1. Ich füge das Repo hinzu
    > > 2. Ich sage er soll gimp einfach noch mal installieren.
    > > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > > akzeptiert.
    >
    > sudo nano /etc/apt/sources.list
    > ...anpassen...
    > sudo apt-get update
    > sudo apt-get install -t=jessie gimp

    Nein, ursprünglich ging es darum, das jemand Software mit Crapware verseucht und es dann in seiner Repo als neue Version ausgibt. Dann bekommen alle mit dieser Repo beim Update die verseuchte Software. So etwas sollte von alleine verhindert werden und nicht manuell für jedes Paket.

  18. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Cöcönut 28.10.14 - 20:50

    pi@raspberry schrieb:
    --------------------------------------------------------------------------------
    > Cöcönut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > nille02 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > 1. Ich füge das Repo hinzu
    > > > 2. Ich sage er soll gimp einfach noch mal installieren.
    > > > 3. Sicherheitsfrage da es eine andere quelle ist j/N
    > > > 4. Alle benötigten Abhängigkeiten werden dann halt automatisch mit
    > > > akzeptiert.
    > >
    > > sudo nano /etc/apt/sources.list
    > > ...anpassen...
    > > sudo apt-get update
    > > sudo apt-get install -t=jessie gimp
    >
    > Nein, ursprünglich ging es darum, das jemand Software mit Crapware
    > verseucht und es dann in seiner Repo als neue Version ausgibt. Dann
    > bekommen alle mit dieser Repo beim Update die verseuchte Software. So etwas
    > sollte von alleine verhindert werden und nicht manuell für jedes Paket.

    Ich hab das Gespräch vollständig gelesen. Deine Vorstellung hat aber ein Problem. Woher soll jetzt die Software wissen dass Crapware in dem Repo ist? Wenn du dich Admin/Root nennst solltest du wissen was du tust, das Denken kann dir keine Software abnehmen. Dazu zählt auch die Verantwortung die man auf sich nimmt wenn man ein anderes Repo zu seinem System hinzufügt. Mit "-t=..." gibst du ja explizit an dass du eine bestimmte Quelle verwenden willst.

  19. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: pythoneer 28.10.14 - 20:59

    Cöcönut schrieb:
    --------------------------------------------------------------------------------
    > Ich hab das Gespräch vollständig gelesen. Deine Vorstellung hat aber ein
    > Problem. Woher soll jetzt die Software wissen dass Crapware in dem Repo
    > ist? Wenn du dich Admin/Root nennst solltest du wissen was du tust, das
    > Denken kann dir keine Software abnehmen. Dazu zählt auch die Verantwortung
    > die man auf sich nimmt wenn man ein anderes Repo zu seinem System
    > hinzufügt. Mit "-t=..." gibst du ja explizit an dass du eine bestimmte
    > Quelle verwenden willst.

    Sein Versuch in allen Ehren, aber er hat es einfach noch nicht vollständig durchdacht – darum fand ich es ja auch sinnlos.

  20. Re: Halb-OT: Security-Frage zu Linux Package Managern bzgl. Fremdrepositories

    Autor: Sharra 28.10.14 - 21:38

    Entweder ich nutze nur die Repositorys vom Maintainer, der dann auch drauf achten sollte, dass nichts durchrutscht (was eine große Aufgabe ist, grade wenns um Fremdsoftware geht), oder ich kümmere mich selbst drum, dass ich keinen Mist mitinstalliere und achte drauf, woher ich mein Zeug beziehe.

    Der Unterschied zwischen einem Paketmanager, und Softwaredownloads von Webseiten ist nur das Medium an sich. Bei beiden ist man User angehalten das Hirn nicht in der Rundablage zu parken.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Commerz Direktservice GmbH, Duisburg
  2. Raven51 AG, Frankfurt am Main
  3. ilum:e informatik ag, Mainz
  4. über eTec Consult GmbH, Großraum Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bundestagswahl 2021: Die Rache der Uploadfilter
Bundestagswahl 2021
Die Rache der Uploadfilter

Die Bundestagswahl im September scheint immer noch weit weg zu sein. Doch gerade das Thema Corona könnte die Digitalisierung in den Mittelpunkt des Wahlkampfs rücken.
Eine Analyse von Friedhelm Greis


    AVM-Kabel-Spitzenboxen im Vergleich: Die Qual der Wahl am Kabel
    AVM-Kabel-Spitzenboxen im Vergleich
    Die Qual der Wahl am Kabel

    Sie sind wie zwei Geschwister, die unterschiedlicher nicht sein könnten. Wir haben uns die aktuellen Topmodelle der Kabel-Fritzboxen in der Praxis angesehen.
    Von Jan Rähm

    1. AVM Fritzbox 6850 5G kommt doch noch
    2. AVM Fritzbox 5530 Fiber Eine Fritzbox für Glasfaseranschlüsse und Wi-Fi 6
    3. Fritzbox 7530 AX AVMs erste DSL-Fritzbox mit Wi-Fi 6 kommt

    Surface Laptop Go im Test: Microsoft baut besten Laptop für unter 800 Euro
    Surface Laptop Go im Test
    Microsoft baut besten Laptop für unter 800 Euro

    Für den Preis hatten wir beim Surface Laptop Go nicht viel erwartet, wurden jedoch positiv überrascht. Vorsicht aber beim günstigsten Modell.
    Ein Test von Oliver Nickel

    1. Surface Pro X, Surface Book Microsoft Surface muss sich verändern
    2. Surface Microsoft setzt standardmäßig auf Hardware-Security
    3. Surface Pro 7+ Mehr Akku, LTE und 32 GByte RAM im Surface Pro