Niebezpieczne aktualizacje Linuksa?
- Dodano: 17 July 2008
- Wprowadził: scapegoat
- Komentarze: 75
Mogło by się wydawać ,że narzędzia aktualizacji oprogramowania w systemach operacyjnych są kluczowym elementem zapewniającym im bezpieczeństwo. Jednak jak dowodzą ostatnie badania, systemy z rodziny Linux i BSD mogą stać się łatwym kąskiem dla cyberprzestępców różnej maści.
Grupa badaczy z University of Arizona odkryła, iż narzędzia aktualizacji oprogramowania stosowane w systemach Linux i BSD takie jak APT, YUM i YaST posiadają poważne luki dające cyberprzestępcom dostęp do części systemu operacyjnego, umożliwiając im w ten sposób: modyfikowanie, kasowanie oraz wgrywanie plików, co w konsekwencji może doprowadzić do zainstalowania na komputerze ofiary złośliwego oprogramowania – pozwalając tym samym przejąć kontrolę nad całym systemem!
[...] Naukowcy zauważają, że linuksowi dystrybutorzy niewystarczająco sprawdzają serwery będące mirrorami oficjalnych maszyn dystrybuujących poprawki. Na potrzeby eksperymentu akademicy założyli fikcyjną firmę, wynajęli serwery w centrum hostingowym i bez najmniejszych problemów stworzyli mirrory dla Ubuntu, Fedory, OpenSuSE, CentOS-a i Debiana. W ciągu kilku dni z tymi mirrorami skontaktowały komputery tysięcy użytkowników, w tym maszyny rządowe i wojskowe.
Niektóre z dystrybucji sprawdzają zawartość mirrorów, jednak, jak twierdzą akademicy, mimo to cyberprzestępcy mogliby rozpowszechniać inną zawartość niż spodziewana. Wysyłane na komputer pliki z poprawkami są cyfrowo podpisane. Próba podmiany zawartości pliku skończy się wystąpieniem błędu podczas instalacji.
Cyberprzestępcy mają jednak inne wyjście. Otóż mogą wysłać prawidłowo podpisane stare pakiety, które będą zawierały znane im luki [...]
Więcej informacji: http://kopalniawiedzy.pl/Linux-BSD-mirro...-5266.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
75 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Podane przykłady to tylko dystrybucje GNU/Linuksa, a w tytule jest również BSD.
Poza tym, Fedora chyba wspierała podpisy cyfrowe RPM-ów a Gentoo ma wiele sum kontrolnych plików źródłowych.
Nie wspierała tylko wspiera. Podczas pierwszej instalacji YUMem, pyta Cię czy zaakceptować kluczGPG (1 klucz na 1 repozytoium), godzisz się oczywiście, następnie paczki są sprawdzane czy sa podpisane, jeśli nie to wystąpi błąd, i taką paczkę można jedynie zainstalować poprzez:
<code>rpm –nogpg paczka.rpm</code>
Tak mniej więcej działa.
Niestety autor znów nie zagłębił się w temat, zaczyna mnie coraz bardziej dobijać poziom tego serwisu.
Chodzi o to, że stare dziurawe pakiety, są również prawidłowo podpisane i zawsze można postawić mirror, który będzie takie pakiety serwował. My wtedy możemy sobie taki stary, podpisany prawidłowo pakiet wyexploitować
.
@dzikus: to serwis społecznościowy, to TY masz dbać o jego poziom. Jak? Głosując na dobre niusy, zgłaszając literówki, pisząc raport, jeśli nius jest nieobiektywny, niedokładny lub mija się z prawdą, a także (TAK!) samemu pisząc lepsze niusy.
Dodałem linijkę do cytatu, która wyjaśnia w czym rzecz. A autora proszę o takie składanie niusów, żeby było oczywiste w czym jest rzecz, a także unikanie krzykliwych tematów jak z Faktu.
No to… W czym problem?
Z twoim czytaniem
, bo 'bezpieczenstwa' sa podpisane ale np taki Gimp juz nie koniecznie.
to chyba też mam problemy z czytaniem
Każda paczka w repozyrotium jest podpisana, jeśli już repozytorium obsługuje podpisy. Nawet taki GIMP.
to prawda, ale wystarczy trzymać się oficjalnych distro i raczej nie powinno byc problemów racja?
Distro, repozytorium, czy mirror?
Pozatym każdy może sobie postawić mirror.
Proponuję link do jakiegoś prawdziwego źródła informacji, np:
ZDNet
a nie zżynaczy nie potrafiących nawet cytować.
Sprawdzono 10 różnych menedżerów pakietów: APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast i YUM.
Natomiast cała zastosowana technika nie polegała na instalowaniu złośliwego kodu, ale podsyłaniu starych (pełnych luk) wersji oprogramowania albo zapobieganiu instalacji poprawnej wersji. Potwierdzony eksperymentalnie problem polega na tym, że multum dystrybucji nie zarządza poprawnie podpisami pakietów i metadanych.
Nie, sprawdzono DWA.
ftp://ftp.cs.arizona.edu/reports/2008/TR08-02.pdf
Portage to nie jest menedżer pakietów. Emerge – Tak.
Ja bym się tam nie zgodził
wiki o emerge
wiki o portage
To że korzystająć portage wywołujesz program emerge to juz inna sprawa
Poczytaj lepiej co to jest menedżer pakietów a co to jest repozytorium…
morsik ma rację, portage to repozytorium z którego mogą korzystać menadżery pakietów takie jak emerge, paludis
Portage JEST menedżerem pakietów (emerge czy equery są jego częścią), a paludis jest jego zamiennikiem, który korzysta z tych samych repozytoriów co portage. Proste
Nie masz racji
niesamowite odkrycie
Tyle ze nic z niego nie wynika. Imho zwykly FUD, albo szukanie sensacji tam gdzie jej nie ma.
no dobra, z artykulu na ZDnet jednak cos wynika. A dokladniej przyklad z opensslem w debianie. Mozna zrobic mirror zawierajacy starsza (dziurawa) wersje jako najnowsza i jezeli ktos uzyje wlasnie tego i tylko tego mirrora, to ma problem.
Tyle ze jest jeszcze kwestia zaleznosci, co moze skutkowac brakiem mozliwosci zainstalowania jakiegos pakietu, zaleznego od noweszej wersji openssl.
Dlatego ja korzystam wyłącznie z oficjalnych serwerów albo mirrora pl w oficjalnej domenie. ZU raczej zwykle też korzystają z oficjalnych, ale nie z tego powodu, tylko raczej z niewiedzy, że istnieją mirrory ;]
Bywa różnie. Na przykład, jak ZU odkryje, że nie ma na przykład codeców w Ubuntu, szuka na forum. Wystarczy teraz choćby pozakładać blog/cokolwiek z listami repozytoriów, gdzie jest "wszystko". I masa userów się złapie, tak samo jak łapią się na głupie strony pod Windowsem.
Nigdy nie wiesz czy jak laczysz sie do oficjalnego serwera to tamtejszy load balancer nie przekieruje cie na ktorys z nieoficjalnych "złych" serwerow, wiec problem jednak jest.
no świetnie, tylko jeżeli (jako h4x0r) spróbujesz to zrobić, to:
a). albo zmieniasz znacznik wersji w pakiecie, ale w tym momencie musisz go podpisać – a nie masz klucza. użyszkodnik dostaje monit "niepodpisany pakiet" -> fail.
b). albo nie zmieniasz, żeby użyć starych, ale podpisanych pakietów z oficjalnych repo, ale wtedy jeżeli użyszkodnik nie wywalił oficjalnych repo sam z siebie, menadżer pakietów zassie te nowsze, z oficjalnych repo -> fail.
słowem tak czy siak musisz oprzeć się na niewiedzy użyszkodnika, a system tak czy siak będzie starał się niedopuścić do tego, by ci się powiodło.
podsumowując, albo padasz na podpisach, albo na wersji pakietu.
>b). albo nie zmieniasz, żeby użyć starych, >ale podpisanych pakietów z oficjalnych >repo, ale wtedy jeżeli użyszkodnik nie >wywalił oficjalnych repo sam z siebie, >menadżer pakietów zassie te nowsze, z >oficjalnych repo -> fail.
Tak ci tylko zdaje, taki yum z centos'a czy fedory łączy się z mirrorami i to jest główne repo, nikt nie dodaje nowego repo, nikt nie usuwa głównego repo a ty łączysz się z oficjalnym mirrorem (wg. badaczy udało im się wciągnąć ich mirror na takie właśnie oficjalne listy), nie zmieniając nawet 1 linii w konfiguracji.
PS. Ten artykuł to totalna żenada OSnews. Do dup** z takim dziennikarstwem, autor nie raczył nawet poszukać źródła informacji. Wczoraj haise zrobiło to z 10x lepiej od was.
Bo heisse jest 10x lepsze od nich, ich artykuly sa długie i wyczerpujace, a nie jakies kilkulinijkowe wypierdki.
To napisz długi i wyczerpujący news. ktoś ci broni, czy po prostu lubisz marudzić?
W "b" to takie jedno ale, lista wersji i pakietów leci skąd? Z mirrora czy z oficjalnego serwera?
Akcja z OpenSSL była tak głośna, że każdy świadomy admin 2 razy się upewnił, czy ma zrobiony update. FUD.
Jest to bzdura, bo poprawki bezpieczeństwa leżą na security.debian.org, a nikt o zdrowym umyśle nie ściąga tych paczek z innego serwera.
Jeśli chodzi o podmianę pakietu na jakiś stary, na spreparowanym mirrorze, to też jest bzdura, bo lista pakietów też jest podpisana GPG, więc albo cały mirror jest ze starymi pakietami, albo jest up-to-date i problem w ogóle nie istnieje. Pierwszy przypadek jest tożsamy z tym, że mirror ma awarię i nie aktualizuje się z oryginalnym serwisem. Średnio rozgarnięty administrator połapie się, że coś jest nie tak.
Tak wygląda sytuacja w Debianie i Ubuntu. Jak to jest z RPM-opodobnymi Linuksami to nie wiem. Jeśli całe archiwum nie jest podpisane kluczem, tak jak dla APT, to możliwe, że można preparować archiwa YUM-a.
P.S. Piszemy "poprawnej", myślimy "poprawionej, załatanej".
Uśmiałem się… APT, YUM do kosza!! Teraz będzie tylko STORK from Arizona
Szkoda, że poldka nie testowali na tych repo. Poldek nie pozwoliłby "uaktualnić" do starszej wersji o ile epoch nie byłby podbity w takim pakiecie (co uniemożliwia sygnatura).
Na wszystkich moich centos'ach używam właśnie poldka jako menadżera pakietów.
Piszesz tak, jakby yum to umożliwiał, co jest nieprawdą. Pod tym względem nie różni się od poldka.
podobnie jak APT i prawdopodobnie wszystkie pozostałe.
Łojezu!!! Po raz kolejny proszę: nie zamieniajmy OSnewsa w elektroniczny "Superekspres". Kolejny news przepisany z innego szmatławego tytułu z chwytliwum tytułem i pozbawiony miarodajnej oceny. Autorze, zainteresuj się najpierw sposobami dystrybucji oprogramowania w poważnych dystrybucjach i i nie wypisuj bzdur! Z tej wiadomości po raz kolejny wynika tylko jedna rzecz: największym zagrożeniem dla systemu jest głupiec, który go obsługuje (i instaluje niepodpisane binarki
).
No, uspokoiłem się trochę… A teraz czekam na newsa o tym, że Cezary Pazura* zaraził się wirusem od swojego laptopa
* – Nazwisko "Cezary Pazura" jest wyłączną własnością Cezarego Pazury i zostało użyte w tym poście wyłącznie w celach ilustracyjno-edukacyjnych
Nie powinienem mieć możliwości zrobienia czegoś takiego w łatwy sposób.
NO comment…
ale dla bezpieczeństwa usuń z domu wszystkie ostre przedmioty bo sobie krzywdę zrobisz… oj szkoda by była…
Dla bezpieczeństwa mam w domu bezpieczniki i zaizolowane kable (niestety uziemienia nie mam już w całym mieszkaniu). Dla bezpieczeństwa mam balustradę na balkonie. Dla bezpieczeństwa mikrofalówka ma zabezpieczenie w drzwiczkach. Dla bezpieczeństwa na ruchliwych skrzyżowaniach są światła.
Przez balustrade można przejść, tak samo jak przejechać na czerwonym. I wszystko to łatwo… Mylisz pojęcia bezpieczeństwa i ubezwłasnowolnienia. Chcesz krat w balkonach i zakazu przejeżdżania skrzyżowań.
Podstawowym zabezpieczeniem dla każdej istoty jest instynkt samozachowawczy. W przypadku ludzi, z konieczności życia w cywilizacji technicznej pojęcie to się poszerza. I pojęcie "za łatwo" stawia mi przed oczami obraz spasionego amerykańskiego analfabety wkłądającego głowę do foliowej torby… Powtarzam – na głupotę nie ma lekarstwa.
Nie mylę.
bezpieczeństwo stan niezagrożenia, spokoju, pewności.
ubezwłasnowolnić pozbawić kogoś całkowicie lub częściowo zdolności do czynności prawnych zwykle z powodu jego choroby psychicznej, alkoholizmu lub narkomanii.
Definicje z trzytomowego Słownika języka polskiego (z lat 80).
Nie chcę.
Owszem, jest to właśnie to czego czasem oczekuję po oprogramowaniu. Może zdarzyć się potrzeba obejścia zabezpieczenia, ale powinna to być ostateczność. To czego chce to rozsądne zabezpieczenie, ostrzeżenie.
Niebezpieczny grunt.
Widzisz, ja za głupotę mogę uważać używanie oprogramowania, które samo z siebie stanowi wyzwanie, w momentach, w których nie musi. Tym większą, im więcej od niego zależy.
APT · YUM · YaST (zadnego z tych nie ma na BSD)
Po co wiec siac FUD ze BSD tez ma luki w package management skoro nie ma, a w artykule nie pojawia sie nawet jedna nazwa zwiazana z package management na BSD (pkg / ports/ pkgsrc), nawet oryginalny artykul nie wspomina slowem o package management dla BSD, pada tylko slowo kluczowe BSD i nic wiecej:
Jak wynika z dyskusji ogólnie cała luka również na Linuksie jest mocno naciągana. A jeśli chodzi o BSD, to czy Debian z kernelem FreeBSD nie używa APTa?;p
a co pkg_add jest ok? to czemu jest wymienione BSD?
Co ma piernik do wiatraka? Szukają dziury w całym. Jak sobie użyszkodnik windowsa zainstaluje binarki na zamkniętej licencji to co?
Apropo jakości newsów to może by zrobić tak że nowi newsmeni musieli by początkowo czekać na akceptację swojego newsa i jak tak im kilka tytułów przejdzie bez zstrzezeń usunąć ograniczenia?
Praktycznie wykorzystanie tego było by prawie niemożliwe, bo co musiała by zrobić osoba, żeby się włamać:
1.Znaleźć lukę w pakiecie którą mogła by jakoś wykorzystać.
2.Założyć własny serwer z repozytoriami i dostać się na oficjalną listę mirrorów, zanim ludzie zdążą tą lukę załatać.
3. Mieć nadzieje, że przyszła ofiara nie ściągnie poprawek z innego serwera.
4. Mieć nadzieje, że tego nie wykryją.
To wszystko powoduję, że nawet jak się uda to liczba ofiar będzie niewielka, a osoba włamująca wynajmując taki serwer będzie łatwa do odnalezienia.
@karakar:
Zakładasz mirror i czekasz na odpowiednią okazję. Jak już pojawi się dziura, na którą ktoś napisze exploita, to nie serwujesz na mirrorze poprawek. Dostajesz od klienta zapytanie o update i serwujesz mu starą listę pakietów i już masz pewność kto jest podatny na daną dziurę.
Jesteś pewien, że nie ściągnie, bo dostała od ciebie stary update.
To jest główny zarzut autorów, czyli brak lub bardzo pobieżna weryfikacja oficjalnych mirrorów. Nawet jak ktoś się zorientuje, to już po fakcie, czyli wtedy kiedy ty masz już pięknego botneta działającego na linuksie i kolejny mirror czekający na odpowiednią okazję.
–
Ogólnie widzę, że większość ludzi próbuje "wyprzeć" ze świadomości fakt, że to jest podatność linuksa. Jest to podatność i mam nadzieję, że w niedługim czasie to poprawią.
To nie są jakieś poważne niebezpieczeństwa. Można co najwyżej poprawić bezpieczeństwo przez np. wymóg żeby narzędzie używały list pakietów nie starszych niż X dni. (gdzie X wynosi np. 2).
Poprawność działania mirroringu można sprawdzić np. przy pomocy ukrytych maszych które po rzekomej synchronizacji mirrora będą to sprawdzać (z przypadkowych adresów IP oraz o różnych porach).
Poza tym ja jestem zapisany na debian-security-announce@lists.debian.org więc osobiście bym coś takiego szybko odkrył. Poza tym mam własny mirror (ale to dlatego że mam bardzo dużo maszyn) więc też zwracam na takie rzeczy uwagę.
Zgadzam się, że nie są to poważne niebezpieczeństwa (przede wszystkim ze względu na dyskusyjną opłacalność przedsięwzięcia i jego kłopotliwość), ale należy je wyeliminować, bo a nóż się komuś zachce i narobi bałaganu.
> Poza tym mam własny mirror
Tak przy okazji stwierdzę że własne proxy na ruterze też się przydaje (kilka maszyn) i można skonfigurować apt'a żeby z niego korzystał.
A mirror to jednak trochę miejsca na dysku zapewne zajmuje.
Po co zakładać własny serwer z repozytoriami, skoro można sobie "kupić" przychylność osoby która taki serwer prowadzi "brudnymi" pieniędzmi?
Zawsze zastanawiało mnie to bezgraniczne zaufanie do repozytoriów.
W Windzie przynajmniej ma się jakąś kontrolę nad tym co się instaluje po ściągnięciu z Internetu – można sprawdzić plik przed instalacją programem antywirusowym. W przypadku GNU/Linuksa potrzeba "odrobiny zaufania".
Podobnie jak w linuksie ufasz developerom dystrybucji, w Windowsach musisz zaufać producentowi softu. Tyle że w Windowsach najczęściej instalujesz programy closed source, więc nawet gdybyś miał taką fantazję, to nie możesz sprawdzić czy producent nie zostawił jakiejś tylnej furtki w sofcie.
Opisany w artykule problem jest dość prosty do rozwiązania, więc możemy liczyć, że kiedyś będzie lepiej. Na Windows zostanie po staremu.
a czy paczki mają otwarty kod? skąd wiesz czy w paczkach do dystrybucji nie dodano "jakiejś tylnej furtki"? To jest właśnie pozorna przewaga open nad closed, ale open cieszy się większym zaufaniem i to można łatwo wykorzystać.
Paczki budowane są ze źródeł do których każdy ma dostęp – np. przy rpm-ach wystarczy sobie zassać srpm-a z którego są budowane właściwe paczki, a w którym są zawarte zarówno źródła programu jak i wszystkie patche dla niego wykorzystane w gotowej paczce. Nie siej FUDu
W Gentoo możesz sprawdzić jeszcze łatwiej – pobierany jest kod źródłowy, wszystkie patche i to dopiero jest kompilowane. Więc tak, w moich paczkach mam kod źródłowy.
Ale już była sprawa, że ktoś włamał się na serwer FTP i podstawił trojana w skrypcie configure jakiegoś programu.
Wpadli dlatego, że ktoś kompilował program z pomocą portów na FreeBSD (działa to tak samo jak portage w Gentoo, jakby ktoś nie wiedział) i po ściągnięciu tarballa ze źródłami system zgłosił błąd że nie zgadza się suma MD5. Człowiek ściągnął paczkę z innego mirrora, sprawdził MD5, zdiffował… no i znalazł trojana.
"W Windzie przynajmniej ma się jakąś kontrolę nad tym co się instaluje po ściągnięciu z Internetu – można sprawdzić plik przed instalacją programem antywirusowym. W przypadku GNU/Linuksa potrzeba “odrobiny zaufania”" – w Windows też. Zakładasz, że Twój antywirus znajdzie ewentualne robale, a twórca programu nie zastosował żadnej "tylnej furtki", o której antywirus nie wie…
A potem:
To ja chyba czegoś nie rozumiem. Najpierw jest, że można w ten sposób modysfikować i kasować pliki w systemie, a potem, że próba podmiany skończy się niepowodzeniem…
Ten news wygląda jak zwykły FUD, a nie obiektywna informacja.
FUD? A ile razy instalowałeś rozszerzenia Mozilli mimo że "nie były podpisane cyfrowo"?
A co ma jedno do drugiego? Przecież, żeby zainstalować niepodpisaną paczkę z repozytorium musisz zrobić to ręcznie, a nie "z automatu"?
Kurde a od czego sa klucze GPG i podpisy ??
Oprócz tego jak ktoś chce se jeszcze bardziej uszczelnić to nie zasysa binarek tylko po prześwietleniu kodu sam buduje se swoje binarki
-pzdr.
Bardziej pasuje tutaj „;)” niż „:D”. Bo w zasadzie jest to jedynie teoretyczna możliwość.
Taaa…. wszyscy powinni koniecznie używać Gentoo – znaczy swojej odmiany Gentoo – po indywidualnym prześwietleniu kodu. A jeszcze lepiej jak sami sobie stworzą swój "Linux From Scratch".
A później tobie podobni wypisują teorie spiskowe o blokowaniu skryptów i rzeczywistym udziale GNU/Linuksa w rynku systemów operacyjnych
tja bo w innej dystrybucji nie możesz zbudować sobie paczki
Witajcie. Przypomina mi to troszkę odpowiedź ' biznesu z wozu': "Pani, a dobre te ziemniaki; O tak!; A do czego? A na frytki, z wody, do puree a najlepsze na placki ! A co do tych luk w aktualizacjach- przecież gdy ktoś niepowołany dostanie się do danego serwera z oficjalnumi paczkami, to i tak może je zmodyfikować i dodać jakiś biohazard. Ściąga się wtedy 'najnowsza poprawka' np. security i bach!. A dodatki do FF- jest w repo przecież możliwość dodania tych podpisanych i zaakceptowanych przez 'górę'(np. UBUNTU0, tylko końcowy odbiorca jest ostatnim najsłabszym ogniwem. To samo się tyczy firewalla, antivirusa, apparmour, selinux itp. Buziaki!
Prawda jest taka, że przeciętny użyszkodnik jest zwykle za NATem albo jakąkolwiek bramką która uniemożliwi potencjalnemu atakującemu zrobienie czegokolwiek z dziurawą maszyną, ma zmienny adres IP… Boty i skanery szukają zwykle trywialnych dziur, a nie zaawansowanych eksploitów w przypadku których adresy (asm), offsety itp. mogą wyglądać różnie zależnie od platformy, kompilatora etc. Natomiast administrator MA wiedzieć co robi – jeśli coś przeoczył, ściągnął coś z trefnego mirrora – to jego wina, nawet jeśli to nie jego wina – powiedz to przełożonemu. Już większym zagrożeniem są np. luki w DNS – vide ostatnia dziura z portami źródłowymi, kolejny z wielu atak typu "zatrucie cache'u", pozwalający (bez zakładania firmy i stawiania mirrora) podpiąć podstawiony adres IP nawet pod domenę serwującą oficjalny mirror. Jedyną wiarygodną statystyką byłaby statystyka FAKTYCZNEJ ilości włamań – którą nie sądzę żeby ktoś kiedykolwiek ujrzał.
Pewnie, że są luki, jak we wszystkim. W wielu przypadkach wystarczy prosty DNS spoofing + własna maszyna. Jednakże, więcej zachodu niż to warte.
Jedna z wielu cech GNU, które mi się bardzo podobają- jeżeli ludzie uznają, że trzeba coś z tym zrobić, zrobią coś.
A mnie się jak zwykle wydaje lekko inaczej. Bo cóż to są aktualizacje? Ano łączenie się ze wszystkimi serwerami z paczkami po uprzednim zaakceptowaniu przez użytkownika (z GPG. bądż bez) Poważny problem tkwi w tym że dowolny ktosik może tworzyć paczkę programu, umieścić go na swoim serwerze i ogłosić np. na forum 'tak to moje, działa super, bierzcie' A przecież NIE KAZDY program pasuje do danej dystrybucji/konfiguracji ba nawet u kogoś innego może to działać, a u innego znów nie. Przecież istnieje inna 'oficjalna' metoda np. zgłaszania błedów, propozycji nowych programów i paczek. openSuse, Fedora, mają swoje społecznościowe serwery, a co się dzieje z Ubuntu? Kto tylko chce i może tworzy własne prywatne i niezabezpieczone i dlatego mogą być potencjalne niebezpieczne. A wystarczy zgłosić propozycję paczki/aktualizacji do zaakceptowania i po kłopocie (założe się że prędzej,czy później byłaby w oficjalnych repozytoriach). a tak brnąć trzeba po launchpadach, getdebach i słowach zachęcam do wzięci, to moje. Prędzej, czy później taki znający się na rzeczy człowiek, z nudów i ciekawości, coś wstrzyknie. ____A pamiętacie jak powstała 'wielka bombka'?___ Razem, ludziska, razem, nie oddzielnie bo to nic nie da!
Mam pytanie. Paczki w repozytoriach są podpisane cyfrowo, tak więc możliwość podmiany zawartości samej paczki odpada. Ale – tak jak jest powiedziane w artykule – czy lista plików znajdujących się na serwerze jest w jakiś sposób podpisana? Rozważam taką sytuację – paczki nie podmieni, bo podpisana cyfrowo. Ale – wrzuci tam starą paczkę, podpisaną, z dobrą sumą kontrolną, i zmieni jej nazwę na najnowszą, tak, żeby komputery uznały ją za najnowszy soft i chciały pobrać. Proszę ludzi w temacie o podpowiedzi, na ile taki scenariusz jest możliwy.
Poczytajcie tutaj http://www.hughesjr.com/content/view/22/2/ rzeczowa odpowiedz jak to wyglada w yum'e.
Mam dołączone takie "niestandardowe" repozytorium
z programem QNapi:
http://krzemin.iglu.cz i386/ Packages
Po wpisaniu w konsoli "sudo aptitude update" wysypuje mi:
"W: GPG error: http://krzemin.iglu.cz i386/ Release: The following signatures cou ldn't be verified because the public key is not available: NO_PUBKEY 7BD27B2FCCA 83AD2"
Czyli klucz GPG nie może być potwierdzony, a mimo to mogę spokojnie zainstalować pakiety z tego repozytorium…więc jaki wniosek? nie wiem…:)
Odpowiedz sobie sam. Wielu moich znajomych używa tego repo, ale pic polega na tym – czemu nie można go dołączyć do oficjalnych repo dystrybucji -? Z kodekami można było? ( Ubuntu, MDV) Jest to chyba tylko i wyłącznie chęć wypłynięcia i pokazania oooo umiem .
W Debianie Qnapi jest w oficjalnym repo i nie trzeba stosować prywatnego.