Forum Debian Users Gang

970

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:42)

uzytkownikubunt - NIE ROZUMIEM
yossarian - tego keyringa nie chce, jak probuje zainstalowac wywala mi cos o bezpieczenstwie, wolalbym po prostu dodac jakis aktualny kod, na jakiejs stronie widzialem niby dla tora klucze i wazne do 2015 roku ale nie umiem tego dodac, nie wiem, pododawalem te z dluzsza data przydatnosci ale dalej mam ten error.

971

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:43)

yossarian - no ale skoro wywaliło taki błąd to może faktycznie bezpieczniej by było samemu wprowadzać te klucze.
uzytkownikubunt - ale na tej stronie co podałeś są przeciez keye ważne do 2015

pub   4096R/4B7C3223 2013-07-30
          Key fingerprint = 35CD 74C2 4A9B 15A1 9E1A  81A1 9437 3AA9 4B7C 3223
    uid                  Georg Koppen <gk@torproject.org>
    uid                  Georg Koppen <groeg@vfemail.net>
    uid                  Georg Koppen <georg@getfoxyproxy.org>
    sub   4096R/97955E07 2013-07-30 [expires: 2014-07-30]
    sub   4096R/AC3A821D 2013-07-30 [expires: 2014-07-30]
    sub   4096R/A97A53DC 2014-07-08 [expires: 2015-07-08]
    sub   4096R/E5AE3C98 2014-07-08 [expires: 2015-07-08]

wiec czemu nie mozna ich uzyc ?

Komunikaty wyświetla automat. Dzieje się tak zawsze gdy instalujesz niezweryfikowane pakiety.
Ale po to użytkownik komputera ma mózg, żeby czasem go używał.
Po to instalujesz ten pakiet bo w nim masz aktualizowane klucze.

Ten klucz i tak jest nieaktualny, ale gdy zostanie uaktualniony to po prostu zaktualizuje się pakiet z kluczem i nie będziesz musiał ręcznie szukać informacji.

Dlaczego nie zainstalujesz tora z oficjalnego repozytorium?

W tym pakiecie tez jest ten sam klucz.
Różnica jest taka, że klucze zawsze mają swój termin ważności i po prostu co jakiś czas aktualizuje się pakiet z nowszą wersja kluczy i nie trzeba recznie szukać nowszych.

W tym przypadku ja bym zainstalował normalnie z repozytorium Debiana. Nad nim czuwają bardziej odpowiedzialni ludzie.

Usuń tamto repozytorium.
Potem:

aptitude update

i zainstaluj z oficjalnego repozytorium.

W tamtym pakiecie jest ten sam nieaktualny klucz. Pakiet z kluczami jest zalecany bo działa tak jak każdy inny pakiet z repozytorium — dzięki temu masz zawsze aktualizowany gdy pojawi się nowsza wersja.

Szkodliwe mogą być rzeczy które instalujesz. Jeśli ufasz opiekunowi danego repozytorium to klucze GPG zwiększają bezpieczeństwo poprzez wiarygodność danych pakietów w porównaniu.

Najbezpieczniej nie używać zewnętrznych repozytoriów gdy nie ma takiej potrzeby. Szczególnie tych bez kluczy GPG.
Do oficjalnego repozytorium trudno wrzucić coś szkodliwego.

@uzytkownikubunt:
Jeżeli tak samo szybko aktualizują pakiety z kluczami i same klucze to nie ma co się podniecać „szybszym dostępęm do aktualizacji bezpieczeństwa do tego pakietu”.

Ale np jeśli tor zacząłby coś mącić to może sprytne oko developerów debiana by mogło nas uchronić. Bo tak na marginesie to nie ufam ani tym od tora ani od debiana, ogólnie to staram się nie ufać nikomu

Ostatnio edytowany przez relv1 (2014-08-30 17:58:43)

uzytkownikubunt napisał(-a):

A skąd mają brać paczkujący w Debianie aktualizacje bezpieczeństwa dla Tora? Backportują je po wydaniu oficjalnego pakietu w repo Tora. Więc na pewno będzie szybciej korzystać z oficjalnego repozytorium

Repozytorium Tora:
28-Jul-2014 20:50
Repozytorium Debiana:
Mon, 28 Jul 2014 22:22:24

Rozumiem, że aktualizujesz system częściej niż co 1,5 godz. i ma to kluczowe znaczenie ;)

mati75 napisał(-a):

uzytkownikubunt napisał(-a):

A skąd mają brać paczkujący w Debianie aktualizacje bezpieczeństwa dla Tora? Backportują je po wydaniu oficjalnego pakietu w repo Tora. Więc na pewno będzie szybciej korzystać z oficjalnego repozytorium

Hmm, herezje prawisz. Debian bierze upstreamowe źródła:

debian/watch napisał(-a):

http://dist.torproject.org/tor-(.*)\.tar\.gz

Pod pewnymi względami (nauka "wyuczonej bezradności") Ubuntu jest groźniejsze, niż ptasia grypa. ;)

uzytkownikubunt napisał(-a):

@mati75 Da się sprawdzić czy tak też było w Squeeze i na początku Wheezy, gdy były wersjami stable?

Debian 6.0 Squeeze był wydany 2011-02-06 repozytorium wtedy zawierało pakiet tor w wersji 0.2.1.29-1, a plik debian/watch zawierał takie wpisy:

version=2
http://tor.eff.org/dist/tor-(.*)\.tar\.gz

Debian 7.0 Wheezy był wydany 2013-05-04 repozytorium wtedy zawierało pakiet tor w wersji 0.2.3.25-1, a plik debian/watch zawierał takie wpisy:

version=2
http://tor.eff.org/dist/tor-(.*)\.tar\.gz