From: Martin Schulze (joey@infodrom.org)
Date: Fri Aug 02 2002 - 15:16:48 CEST
Wolfgang Nowak wrote:
> Tach
>
> On Fri, Aug 02, 2002 at 11:50:42AM +0200, Martin Schulze wrote:
> > Roland Marcus Rutschmann wrote:
> [build-conflicts]
> > > Gibt's dafür ein einfacheres System? Wie macht das eigentlich die
>
> > Schau Dir mal den pbuilder an, der setzt Dir ein chroot fuer den build-Vorgang
>
> *Begystert sei*
> Sag mir mal wer, warum mir das Ding nicht früher über den Weg gelaufen
> ist? Joey, danke.
Weil Du DWN[1] nicht liest. :-)
> Sagt mal, ist das nicht ein weltgeschichtliches Drama, was sich da
> gerade mit OpenBSD/Theo/OpenSSH/"Trojanern" abspielt?
Ja, ich hoffe, er tut sich nichts an deswegen. Das waere dann doch
ueberreagiert.
> Ausgerechnet die OBSD-Fraktion, securitymässig eine _Riesenklappe_
> aufhabend, bricht sich im Moment dermassen
> doof das Nasenbein, daß das sogar bis in die Hyse-Newsticker [1]
> Foren durchgewabert ist und dort für Hohn und Spott sorgt.
Spott gab's bestimmt nur von unreifen Lesern, nicht von den Redakteuren,
oder hab ich da etwas verpasst? Wer bei sicherheitsrelevanten
Problemen ueber andere spottet, sollte sich lieber an die eigene Nase
fassen und zusehen, dass seine Systeme wirklich sicher sind. Oft ist
es nur mehr oder weniger Zufall, dass es den einen und nicht den anderen
bei einem Einbruch trifft.
> Ich könnt direkt aus dem Fenster würgen, und das im Urlaub.
> Bekanntermassen ist OpenSSH nicht so einfach durch etwas anderes zu
> ersetzen. Soll man jetzt 'nen halbstündigen Integritätscheck auf alle
> Kisten machen, wo Software im Original gehostet wird? Und wie?
> *Panik in den Augen hab'*
> Die Welt, jedenfalls die freie Softwarewelt braucht
>
> GPG-signierte Sourcen.
Ist er doch, liegt auf dem FreeBSD-Server.
GPG-signierte Sourcen sind uebrigens auch kein Allheilmittel. Was hilft
Dir ein perfekt signiertes, aber mit altem, nicht korrigiertem, Bug
versehenen Quellcodepaket, wenn man Dir das unterjubelt und einfach den
alten Fehler ausnutzt?
Schau Dir mal an wie's Debian macht:
Release-Datei
signiert
enthaelt md5sum von Packages-Dateien
Packages-Datei
nicht signiert
enthaelt md5sum von Debian-Paketen/Source
Debian-Paket/Source
nicht signiert
Ueberpruefst Du die Signatur, ueberpruefst Du implizit die einzelnen
Pakete und stellst sicher, dass Du keine alten Pakete, sondern die
in der jeweiligen Distribution von Debian bereitgestellten, verwendest.
Das muss lediglich noch automatisch ueberprueft werden. Ein Skript dazu
gab's auf debian-devel, es ist leider noch nicht per default dabei, das
fehlt noch.
Gruesse,
Joey
1. http://www.debian.org/News/weekly/
--
GNU does not eliminate all the world's problems, only some of them.
-- The GNU Manifesto
This archive was generated by hypermail 2.1.4 : Fri Aug 02 2002 - 15:17:14 CEST