Предупреждение насчёт debian-multimedia.org

0

1

Майский постинг на «Bits from the Debian Project Leader» включает в себя уведомление о том, что у домена debian-multimedia.org — который когда-то был популярным сайтом репозитория Debian — истёк срок регистрации, и этот домен был «захвачен» неизвестным лицом. Если пользователи Debian имеют ссылки на этот сайт в своей конфигурации APT, то сейчас самое хорошее время, чтобы избавиться от них. Как говорит Лукас Нуссбаум [Lucas Nussbaum]: «Это хороший пример важности использования криптографии для защиты APT репозиториев (и, что важно при не добавлении ключей „вслепую“).»

>>> Подробности

Ссылка

←	Шрифт STIX с поддержкой LaTeX

Вышла седьмая редакция стандарта Java EE и её эталонная реализация

→

← 1 2 →

Ответ на: комментарий от ololoid 11.06.13 23:58:18 MSK

Т.е. у тебя был подключён репозиторий debian-multimedia.org?

Darth_Revan ★★★★★
(12.06.13 00:34:46 MSK)

Ответ на: комментарий от olibjerd 10.06.13 20:09:33 MSK

Мотоциклы — прикрытие.

CYB3R ★★★★★
(12.06.13 00:52:17 MSK)

Ссылка

Ответ на: комментарий от Reset 11.06.13 22:37:46 MSK

это не важно, уверен, что еще у кучи народа он в sources.list, можно купить домен, залить трянов в реп и заработать миллионы бабла

А также стырить у Кристиана ключ и подписать ими троянов, ага.

barti_ddu ★
(12.06.13 00:54:41 MSK)

Ответ на: комментарий от chromium 11.06.13 17:50:34 MSK

Зачем он нужен?

из нетипичного:

dpkg --search libtxc_dxt
libtxc-dxtn0:i386: /usr/lib/i386-linux-gnu/libtxc_dxtn.so
libtxc-dxtn0:amd64: /usr/lib/x86_64-linux-gnu/libtxc_dxtn.so

barti_ddu ★
(12.06.13 01:08:55 MSK)

Ссылка

Энтерпрайзненько.

Citramonum ★★★
(12.06.13 02:08:12 MSK)

Ссылка

Ответ на: комментарий от Reset 11.06.13 22:37:46 MSK

Цифровая подпись домену не осталась.
Или кто то будет ставить неподписанные пакеты?
Если да, то - ССЗБ.

Xunnu ★★
(12.06.13 04:38:46 MSK)

Ссылка

Ответ на: комментарий от barti_ddu 12.06.13 00:54:41 MSK

С кернель.огр прокатывало разок.

anonymous
(12.06.13 05:03:49 MSK)

Ссылка

Ответ на: комментарий от SI 11.06.13 12:38:23 MSK

Вот не надо тут шутковать. Упомянутый репозиторий поддерживался не проектом Debian, а некими энтузиастами. Сервис был перенесен на другой домен (я так понял, уже на принадлежащий самому проекту), а хозяину старого домена было предложено покрыть расходы, связанные с переездом. Хозяин сотрудничать не захотел, и просто дал домену протухнуть.

И как тут Debian виноват?

pianolender ★★★
(12.06.13 10:01:51 MSK)

Ссылка

Хороший сайт. Добавил в закладки.

~~ArturK~~ ★
(12.06.13 10:09:17 MSK)

Ссылка

Я им никогда и не пользовался. Небезопасно подключать сторонний репозиторий.

~~b08091986~~
(12.06.13 11:25:25 MSK)

Ссылка

Ответ на: комментарий от SI 11.06.13 12:38:23 MSK

нищеброды, зажали 20 баксов.

Не... Там все по другому было: Debian'овцы предъявили притензии автору debian-miltimedia что он использует слово debian в названии сервиса, и собирает деньги. Предложили ему работать под крышей основного проекта. Он же их вежливо послал на, зарегистрировал новый домен, заменив debian на deb а старый продлевать не стал.

shaplov ★★★
(12.06.13 11:30:57 MSK)

100 лет назад было на opennet

ttnl ★★★★★
(12.06.13 11:37:26 MSK)

Ссылка

Ответ на: комментарий от barti_ddu 12.06.13 00:54:41 MSK

А кто такой Кристиан и почему его ключ лучше ключа Васи Пупкина?

Reset ★★★★★
(12.06.13 12:44:13 MSK)

Ответ на: комментарий от Reset 12.06.13 12:44:13 MSK

Кристиан - это создатель debian-multimedia.

Добавляя репозиторий, когда он ещё работал, пользователь должен был установить открытый ключ Кристиана. Чтобы пакеты в гипотетическом поддельном репозитории верифицировались этим ключом, необходимо подписать их закрытым ключом, соответствующим открытому.

То есть Вася Пупкин может разве что подписать пакеты своим закрытым ключом, но так как этот ключ не совпадёт с ключом Кристиана, эти пакеты не будут верифицированы, и apt будет ругаться.

anonymous
(12.06.13 13:11:50 MSK)

Ответ на: комментарий от Reset 12.06.13 12:44:13 MSK

Не говоря уже о том, что данный репозиторий не особо-то и нужен большинству пользователей, ибо декодеры в том числе и закрытых форматов присутствуют в Debian изначально.

anonymous
(12.06.13 13:13:34 MSK)

Ссылка

Ответ на: комментарий от anonymous 12.06.13 13:11:50 MSK

Пользователь обновит пакет с ключами и к нему приедет ключ от Васи Пупкина, всё будет ok.

Reset ★★★★★
(12.06.13 13:15:17 MSK)

Ответ на: комментарий от Reset 12.06.13 13:15:17 MSK

Пользователь обновит пакет с ключами

...который будет подписан чем?

anonymous
(12.06.13 13:23:23 MSK)

Ответ на: комментарий от anonymous 12.06.13 13:23:23 MSK

Все будет примерно так:

Устанавливаемый пакет подписан неизвестным ключом с id kristian@new-fake-domain.com. 
Установить пакет? N/y:
y

А еще я уверен, что у многих дебианщиков в кроне стоит yes | apt-get update && yes | apt-get upgrade. Это же дебиан, он стабильный и в нем ничего не может сломаться!

Reset ★★★★★
(12.06.13 13:26:03 MSK)
Последнее исправление: Reset 12.06.13 13:26:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Reset 12.06.13 13:26:03 MSK

Все будет примерно так:

Устанавливаемый пакет подписан неизвестным ключом с id kristian@new-fake-domain.com. 
Установить пакет? N/y:
y

Ага, а если пользователь выполнит:

$ rm -ir ~
rm: удалить каталог `/home/user'? y

- в этом тоже Debian будет виноват.

А если кто-то вклинится в сеть между пользователем и провайдером и подставит «левые» записи DNS, ведущие к зеркалу, то будет виноват ${название вашего дистрибутива}.

Короче говоря, нет возможности молча установить неподписанный пакет, а если пользователь проигнорировал предупреждение, то он сам виноват. Точно так же, как если в Windows он проигнорирует окно UAC - чтобы вам было понятнее.

anonymous
(12.06.13 13:40:39 MSK)

Ответ на: комментарий от anonymous 12.06.13 13:40:39 MSK

При подключении нового репозитория постоянно вылазит проблема с ключами. А так как дебианщики подключают их немерено (ага, в стандартных только тухляк), то на вопросы о ключах никто внимания уже не обращает.

Reset ★★★★★
(12.06.13 13:49:59 MSK)

Ответ на: комментарий от Reset 12.06.13 13:49:59 MSK

Во-первых, вы не «дебианщик», так что не рассуждайте о том, чего не знаете.

Во-вторых, если надо новый пакет, его берут из testing или unstable, а не непонятно откуда.

В-третьих, не вы ли так ратовали за PPA в Ubuntu? А теперь сравните, да.

В-четвёртых, как раз потому, что «вопросы о ключах» возникают только при добавлении нового репозитория, такие предупреждения при обычном обновлении более чем подозрительны.

В-пятых, так:

в кроне стоит yes | apt-get update && yes | apt-get upgrade

- никто не делает. У apt-get есть опция --assume-yes (сокращённый вариант: -y), которая и используется в таких случаях. Неподписанные пакеты, однако, она поставить не даст.

anonymous
(12.06.13 14:05:07 MSK)

Ссылка

Ответ на: комментарий от petrosyan 11.06.13 17:56:05 MSK

Оружие, наркота, педофилия?

anonymous
(12.06.13 14:14:57 MSK)

Ссылка

Ответ на: комментарий от Reset 11.06.13 22:37:46 MSK

Ну так понятно, что раздолбайство, но ЛОР вроде как для этого и предназначен предоставлять информацию о Linux (тем более такую важную) на русском языке.

t500s ★★
(12.06.13 15:12:27 MSK)

Ссылка

Ответ на: комментарий от Darth_Revan 12.06.13 00:34:46 MSK

Ога, да еще и на VPS (когда-то source.list скопировал с рабочей машины). Заметил при переезде на wheezy траблы с сабжем, но должного внимания не уделил.

~~ololoid~~ ★★★★
(12.06.13 15:17:36 MSK)

Ответ на: комментарий от ololoid 12.06.13 15:17:36 MSK

на VPS

debian-multimedia.org

Заметил при переезде на wheezy траблы

должного внимания не уделил

А вы хороший администратор, я смотрю.

anonymous
(12.06.13 15:23:10 MSK)

Ответ на: комментарий от Reset 12.06.13 13:15:17 MSK

Пользователь обновит пакет с ключами и к нему приедет ключ от Васи Пупкина, всё будет ok.

ога, «Помогите исправить программу, не печатает»(ц)LOR

программа из одной строчки ни Perl

Debian != ССЗБ ^^

tuxy-jahn
(12.06.13 16:08:31 MSK)

Ссылка

Ответ на: комментарий от Reset 12.06.13 13:49:59 MSK

Все продолжаешь жить в своем мирке с розовыми ~~пони~~ Ubuntu? А сейчас вспомним гору ppa от Ubuntu и сколько хомяков ставит всякое гогно оттуда вообще не глядя. И сколько хомяков вообще знает что такое ключи и зачем они нужны?

Кстати наткнулся тут давеча на ppa c Sublime Text 2 (дада тот самый который только с сайта и ставится), так какие-то гении не ~~не будем показывать пальцем на “WebUpd8” team~~ упаковали его так, что он все съемные диски с апплета «Переход» на панели xfce открываются сугубо через него. Кстати с боковой панели Thunar тоже.

t500s ★★
(12.06.13 16:43:03 MSK)

Ответ на: комментарий от t500s 12.06.13 16:43:03 MSK

Что интересно: больше всего агрессии в сторону Debian слышно именно от пользователей Ubuntu - дистрибутива, который основан на Debian и до сих пор очень от него зависит.

anonymous
(12.06.13 19:41:33 MSK)

Ссылка

Ответ на: комментарий от anonymous 12.06.13 15:23:10 MSK

Да. Ведь это мой личный сервер для экспериментов.

~~ololoid~~ ★★★★
(12.06.13 22:23:49 MSK)

Ссылка

Ответ на: комментарий от Reset 12.06.13 13:26:03 MSK

Все будет примерно так:

Устанавливаемый пакет подписан неизвестным ключом с id >kristian@new-fake-domain.com.
Установить пакет? N/y:
y

Это, конечно, возможный вариант. Но абсолютно незаметно подписанные пакеты подменить нельзя.

А еще я уверен, что у многих дебианщиков в кроне стоит yes | >apt-get update && yes | apt-get upgrade.

А вот это откровенный гон. Если ставить на «авто» сторонние репозитарии.. что можно сказать о таком человеке?

Это же дебиан, он стабильный и в нем ничего не может ломаться!

Левый наезд.

При подключении нового репозитория постоянно вылазит проблема с ключами. А так как дебианщики подключают их немерено (ага, в стандартных только тухляк), то на вопросы о ключах никто внимания уже не обращает.

Хех, да, действительно немеряно... testing/unstable/experimental и security. Все, кстати, официальные. Сколько помню (где-то с 1999-го) всегда так и было. Глупый наезд.

barti_ddu ★
(12.06.13 22:28:39 MSK)