LINUX.ORG.RU

Предупреждение насчёт debian-multimedia.org

 , , ,


0

1

Майский постинг на «Bits from the Debian Project Leader» включает в себя уведомление о том, что у домена debian-multimedia.org — который когда-то был популярным сайтом репозитория Debian — истёк срок регистрации, и этот домен был «захвачен» неизвестным лицом. Если пользователи Debian имеют ссылки на этот сайт в своей конфигурации APT, то сейчас самое хорошее время, чтобы избавиться от них. Как говорит Лукас Нуссбаум [Lucas Nussbaum]: «Это хороший пример важности использования криптографии для защиты APT репозиториев (и, что важно при не добавлении ключей „вслепую“).»

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 5)
Ответ на: комментарий от Reset

это не важно, уверен, что еще у кучи народа он в sources.list, можно купить домен, залить трянов в реп и заработать миллионы бабла

А также стырить у Кристиана ключ и подписать ими троянов, ага.

barti_ddu
()
Ответ на: комментарий от chromium

Зачем он нужен?

из нетипичного:

dpkg --search libtxc_dxt
libtxc-dxtn0:i386: /usr/lib/i386-linux-gnu/libtxc_dxtn.so
libtxc-dxtn0:amd64: /usr/lib/x86_64-linux-gnu/libtxc_dxtn.so
barti_ddu
()
Ответ на: комментарий от Reset

Цифровая подпись домену не осталась.
Или кто то будет ставить неподписанные пакеты?
Если да, то - ССЗБ.

Xunnu ★★
()
Ответ на: комментарий от barti_ddu

С кернель.огр прокатывало разок.

anonymous
()
Ответ на: комментарий от SI

Вот не надо тут шутковать. Упомянутый репозиторий поддерживался не проектом Debian, а некими энтузиастами. Сервис был перенесен на другой домен (я так понял, уже на принадлежащий самому проекту), а хозяину старого домена было предложено покрыть расходы, связанные с переездом. Хозяин сотрудничать не захотел, и просто дал домену протухнуть.

И как тут Debian виноват?

pianolender ★★★
()

Хороший сайт. Добавил в закладки.

ArturK
()

Я им никогда и не пользовался. Небезопасно подключать сторонний репозиторий.

b08091986
()
Ответ на: комментарий от SI

нищеброды, зажали 20 баксов.

Не... Там все по другому было: Debian'овцы предъявили притензии автору debian-miltimedia что он использует слово debian в названии сервиса, и собирает деньги. Предложили ему работать под крышей основного проекта. Он же их вежливо послал на, зарегистрировал новый домен, заменив debian на deb а старый продлевать не стал.

shaplov ★★★
()

100 лет назад было на opennet

ttnl ★★★★★
()
Ответ на: комментарий от Reset

Кристиан - это создатель debian-multimedia.

Добавляя репозиторий, когда он ещё работал, пользователь должен был установить открытый ключ Кристиана. Чтобы пакеты в гипотетическом поддельном репозитории верифицировались этим ключом, необходимо подписать их закрытым ключом, соответствующим открытому.

То есть Вася Пупкин может разве что подписать пакеты своим закрытым ключом, но так как этот ключ не совпадёт с ключом Кристиана, эти пакеты не будут верифицированы, и apt будет ругаться.

anonymous
()
Ответ на: комментарий от Reset

Не говоря уже о том, что данный репозиторий не особо-то и нужен большинству пользователей, ибо декодеры в том числе и закрытых форматов присутствуют в Debian изначально.

anonymous
()
Ответ на: комментарий от anonymous

Все будет примерно так:

Устанавливаемый пакет подписан неизвестным ключом с id kristian@new-fake-domain.com. 
Установить пакет? N/y:
y

А еще я уверен, что у многих дебианщиков в кроне стоит yes | apt-get update && yes | apt-get upgrade. Это же дебиан, он стабильный и в нем ничего не может сломаться!

Reset ★★★★★
()
Последнее исправление: Reset (всего исправлений: 1)
Ответ на: комментарий от Reset

Все будет примерно так:

Устанавливаемый пакет подписан неизвестным ключом с id kristian@new-fake-domain.com. 
Установить пакет? N/y:
y

Ага, а если пользователь выполнит:

$ rm -ir ~
rm: удалить каталог `/home/user'? y
- в этом тоже Debian будет виноват.

А если кто-то вклинится в сеть между пользователем и провайдером и подставит «левые» записи DNS, ведущие к зеркалу, то будет виноват ${название вашего дистрибутива}.

Короче говоря, нет возможности молча установить неподписанный пакет, а если пользователь проигнорировал предупреждение, то он сам виноват. Точно так же, как если в Windows он проигнорирует окно UAC - чтобы вам было понятнее.

anonymous
()
Ответ на: комментарий от anonymous

При подключении нового репозитория постоянно вылазит проблема с ключами. А так как дебианщики подключают их немерено (ага, в стандартных только тухляк), то на вопросы о ключах никто внимания уже не обращает.

Reset ★★★★★
()
Ответ на: комментарий от Reset

Во-первых, вы не «дебианщик», так что не рассуждайте о том, чего не знаете.

Во-вторых, если надо новый пакет, его берут из testing или unstable, а не непонятно откуда.

В-третьих, не вы ли так ратовали за PPA в Ubuntu? А теперь сравните, да.

В-четвёртых, как раз потому, что «вопросы о ключах» возникают только при добавлении нового репозитория, такие предупреждения при обычном обновлении более чем подозрительны.

В-пятых, так:

в кроне стоит yes | apt-get update && yes | apt-get upgrade

- никто не делает. У apt-get есть опция --assume-yes (сокращённый вариант: -y), которая и используется в таких случаях. Неподписанные пакеты, однако, она поставить не даст.

anonymous
()
Ответ на: комментарий от petrosyan

Оружие, наркота, педофилия?

anonymous
()
Ответ на: комментарий от Reset

Ну так понятно, что раздолбайство, но ЛОР вроде как для этого и предназначен предоставлять информацию о Linux (тем более такую важную) на русском языке.

t500s ★★★
()
Ответ на: комментарий от Darth_Revan

Ога, да еще и на VPS (когда-то source.list скопировал с рабочей машины). Заметил при переезде на wheezy траблы с сабжем, но должного внимания не уделил.

ololoid ★★★★
()
Ответ на: комментарий от ololoid

на VPS

debian-multimedia.org

Заметил при переезде на wheezy траблы

должного внимания не уделил

А вы хороший администратор, я смотрю.

anonymous
()
Ответ на: комментарий от Reset

Все продолжаешь жить в своем мирке с розовыми пони Ubuntu? А сейчас вспомним гору ppa от Ubuntu и сколько хомяков ставит всякое гогно оттуда вообще не глядя. И сколько хомяков вообще знает что такое ключи и зачем они нужны?

Кстати наткнулся тут давеча на ppa c Sublime Text 2 (дада тот самый который только с сайта и ставится), так какие-то гении не не будем показывать пальцем на “WebUpd8” team упаковали его так, что он все съемные диски с апплета «Переход» на панели xfce открываются сугубо через него. Кстати с боковой панели Thunar тоже.

t500s ★★★
()
Ответ на: комментарий от t500s

Что интересно: больше всего агрессии в сторону Debian слышно именно от пользователей Ubuntu - дистрибутива, который основан на Debian и до сих пор очень от него зависит.

anonymous
()
Ответ на: комментарий от anonymous

Да. Ведь это мой личный сервер для экспериментов.

ololoid ★★★★
()
Ответ на: комментарий от Reset

Все будет примерно так:

Устанавливаемый пакет подписан неизвестным ключом с id >kristian@new-fake-domain.com.
Установить пакет? N/y:
y

Это, конечно, возможный вариант. Но абсолютно незаметно подписанные пакеты подменить нельзя.

А еще я уверен, что у многих дебианщиков в кроне стоит yes | >apt-get update && yes | apt-get upgrade.

А вот это откровенный гон. Если ставить на «авто» сторонние репозитарии.. что можно сказать о таком человеке?

Это же дебиан, он стабильный и в нем ничего не может ломаться!

Левый наезд.

При подключении нового репозитория постоянно вылазит проблема с ключами. А так как дебианщики подключают их немерено (ага, в стандартных только тухляк), то на вопросы о ключах никто внимания уже не обращает.

Хех, да, действительно немеряно... testing/unstable/experimental и security. Все, кстати, официальные. Сколько помню (где-то с 1999-го) всегда так и было. Глупый наезд.

barti_ddu
()
Ответ на: комментарий от shaplov

И сколько триллиардов денег он украл у дебиана?

Oleaster ★★★
()

почему такая важная новость в «мини» находится?

и странно что в рассылке был упомянут новый домен, но не назван (это deb-multimedia.org если кто не в курсе)...

aim1159 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.