APT-SECURE(8) | APT | APT-SECURE(8) |
NAME
apt-secure - Archivauthentifizierungsunterstützung für APT
BESCHREIBUNG
Beginnend mit Version 0.6 enthält APT Code, der die Signatur der Release-Datei für alle Depots prüft. Dies stellt sicher, dass Daten wie Pakete im Archiv nicht von Leuten geändert werden können, die keinen Zugriff auf den Signierschlüssel der Release-Datei haben. Beginnend mit Version 1.1 erfordert APT von Depots aktuelle Authentifizierungsinformationen für den ungestörten Gebrauch des Depots bereitzustellen. Seit Version 1.5 müssen Informationen, die in der Release-Datei über das Depot enthalten sind, bestätigt werden, bevor APT mit den Aktualisierungen aus diesem Depot fortfährt.
Hinweis: Alle APT-basierten Paketverwaltungsoberflächen wie apt-get(8), aptitude(8) und synaptic(8) unterstützen diese Authentifizierungsfunktionalität, daher verwendet diese Handbuchseite der Einfachheit halber exemplarisch für alle APT.
BENUTZERKONFIGURATION
Keys should usually be included inside their corresponding .sources by embedding the ASCII-armored key in the Signed-By option. To do so, replace the empty line with a dot, and then indent all lines by two spaces. See sources.list(5) for more information.
Alternatively, keys may be placed in /etc/apt/keyrings for local keys, or /usr/share/keyrings for keys managed by packages, and then referenced by Signed-By: /etc/apt/keyrings/example-archive-keyring.asc option in a .sources file or using deb [signed-by=/etc/apt/keyrings/example-archive-keyring.asc] ... in the legacy .list format. This may be useful for APT versions prior to 2.4, which do not support embedded keys. ASCII-armored keys must use an extension of .asc, and unarmored keys an extension of .gpg.
To generate keys suitable for use in APT using GnuPG, you will need to use the gpg --export-options export-minimal [--armor] --export command. Earlier solutions involving --keyring file --import no longer work with recent GnuPG versions as they use a new internal format ("GPG keybox database").
Note that a default installation already contains all keys to securely acquire packages from the default repositories, so managing keys is only needed if third-party repositories are added. The extrepo package can be used to manage several external repositories with ease.
NICHT SIGNIERTE DEPOTS
Falls ein Archiv eine nicht signierte oder überhaupt keine Release-Datei hat, werden alle aktuellen APT-Versionen das Herunterladen von Daten von dort standardmäßig in update-Aktionen verweigern. Sogar wenn Oberflächen wie apt-get(8) zum Herunterladen gezwungen werden, wird eine explizite Bestätigung benötigt, falls eine Installationsanfrage ein Paket aus einem derartigen nicht authentifizierten Archiv enthält.
Sie können erzwingen, dass alle APT-Clients nur Warnungen ausgeben, indem Sie die Konfigurationsoption Acquire::AllowInsecureRepositories auf true setzen. Über die sources.list(5)-Option allow-insecure=yes kann auch erlaubt werden, dass individuelle Depots unsicher sind. Beachten Sie, dass von unsicheren Depots eindringlich abgeraten wird und alle Optionen, die APT zwingen, sie weiterhin zu unterstützen, irgendwann entfernt werden. Benutzern steht auch die Option Trusted zur Verfügung, um sogar Warnungen auszuschalten, seien Sie sich aber sicher, dass Sie die in sources.list(5) erklärten Konsequenzen verstanden haben.
Ein Depot, das vorher authentifiziert war, diesen Status jedoch bei einer update-Aktion verlieren würde, gibt auf allen APT-Clients, ungeachtet der Option, die die Verwendung unsicherer Depots erlaubt oder verbietet, einen Fehler aus. Der Fehler kann durch zusätzliches Setzen von Acquire::AllowDowngradeToInsecureRepositories auf true oder für individuelle Depots mit der sources.list(5)-Option allow-downgrade-to-insecure=yes übergangen werden.
SIGNIERTE DEPOTS
Eine Kette des Vertrauens von einem APT-Archiv zum Endanwender wird durch verschiedene Schritte erreicht. apt-secure ist der letzte Schritt in dieser Kette. Einem Archiv zu vertrauen bedeutet nicht, dass Sie vertrauen, dass das Paket keinen schadhaften Code enthält, aber es bedeutet, dass Sie dem Archivbetreuer vertrauen. Der Archivbetreuer ist dafür verantwortlich, dass er die Korrektheit der Integrität des Archivs aufrechterhält.
apt-secure überprüft keine Signaturen auf einer Stufe der Pakete. Falls Sie ein Werkzeug benötigen, das dies tut, sollten Sie einen Blick auf debsig-verify und debsign werfen (bereitgestellt von den Paketen debsig-verify beziehungsweise devscripts).
Die Kette des Vertrauens in Debian beginnt (z.B.), wenn ein Betreuer ein neues Paket oder eine neue Version eines Pakets in das Debian-Archiv hochlädt. Damit es in Kraft tritt muss dieses Hochladen mit einem Schlüssel signiert werden, der sich in einem der Schlüsselbunde der Debian-Betreuer befindet (verfügbar im Paket »debian-keyring«). Betreuerschlüssel werden von anderen Betreuern gemäß vorbestimmter Regeln signiert, um die Identität des Schlüsselinhabers sicherzustellen. Ähnliche Abläufe existieren in allen Debian-basierten Distributionen.
Sobald das hochgeladene Paket überprüft und dem Archiv hinzugefügt wurde, wird die Betreuersignatur entfernt, Prüfsummen des Pakets werden berechnet und in die Datei Packages abgelegt. Die Prüfsummen aller Packages-Dateien werden berechnet und in der Release-Datei abgelegt. Dann wird die Release-Datei durch den Archivschlüssel für diese Debian-Veröffentlichung signiert und zusammen mit den Paketen und Packages-Dateien auf Debian-Spiegel verteilt. Die Schlüssel sind im Debian-Archivschlüsselbund im Paket debian-archive-keyring verfügbar.
Endanwender können die Signatur der Release-Datei prüfen, die Prüfsumme eines Paketes daraus entpacken und mit der Prüfsumme des Pakets vergleichen, das sie manuell heruntergeladen haben – oder sich darauf verlassen, dass APT dies automatisch tut.
Beachten Sie, dass sich dies vom Prüfen gvonn Signaturen auf Paketbasis unterscheidet. Es wurde entworfen, um zwei mögliche Angriffe zu verhindern:
Es schützt jedoch nicht gegen eine Kompromittierung des Hauptservers selbst (der die Pakete signiert) oder gegen eine Kompromittierung des Schlüssels, der zum Signieren der Release-Dateien benutzt wird. In jedem Fall kann dieser Mechanismus eine paketbasierte Signatur ergänzen.
INFORMATIONSÄNDERUNGEN
Eine Release-Datei enthält neben der Prüfsumme für die Dateien in dem Depot auch allgemeine Informationen über das Depot wie die Herkunft, den Codenamen oder die Versionsnummer der Veröffentlichung.
Diese Informationen werden an verschiedenen Stellen angezeigt, daher sollte ein Depot-Besitzer immer die Richtigkeit sicherstellen können. Desweiteren kann weitere Benutzerkonfiguration wie apt_preferences(5) kann von diesen Informationen abhängen und sie benutzen. Seit Version 1.5 muss der Benutzer daher Änderungen explizit bestätigen, um erkennen zu lassen, dass er ausreichend darauf vorbereitet ist, z.B. auf das neue Major Release der Distribution, das im Depot ausgeliefert wird (z.B. durch den Codenamen angegeben).
DEPOTKONFIGURATION
Wenn Sie Archivsignaturen in einem von Ihnen betreuten Archiv zur Verfügung stellen möchten, müssen Sie:
Immer wenn sich die Inhalte des Archivs ändern (neue Pakete hinzugefügt oder entfernt werden), muss der Archivbetreuer den zwei ersten der oben skizzierten Schritten folgen.
SIEHE AUCH
apt.conf(5), apt-get(8), sources.list(5), apt-ftparchive(1), debsign(1), debsig-verify(1), gpg(1)
Um weitere Hintergrundinformationen zu erhalten, können Sie das Kapitel Die Infrastruktur für Sicherheit in Debian[1] des Handbuchs »Anleitung zum Absichern von Debian« (auch im Paket harden-doc verfügbar) und das Strong Distribution HOWTO[2] von V. Alex Brennen lesen.
FEHLER
APT-Fehlerseite[3]. Wenn Sie einen Fehler in APT berichten möchten, lesen Sie bitte /usr/share/doc/debian/bug-reporting.txt oder den reportbug(1)-Befehl. Verfassen Sie Fehlerberichte bitte auf Englisch.
AUTOR
APT wurde vom APT-Team geschrieben <apt@packages.debian.org>.
AUTOREN DER HANDBUCHSEITE
Diese Handbuchseite basiert auf der Arbeit von Javier Fernández-Sanguino Peña, Isaac Jones, Colin Walters, Florian Weimer und Michael Vogt.
ÜBERSETZUNG
Die deutsche Übersetzung wurde 2009 von Chris Leick <c.leick@vollbio.de> in Zusammenarbeit mit dem deutschen l10n-Team von Debian <debian-l10n-german@lists.debian.org> angefertigt.
Beachten Sie, dass diese Übersetzung Teile enthalten kann, die nicht übersetzt wurden. Dies ist so, damit kein Inhalt verloren geht, wenn die Übersetzung hinter dem Originalinhalt hinterherhängt.
AUTOREN
Jason Gunthorpe
APT-Team
FUßNOTEN
- 1.
- Die Infrastruktur für Sicherheit in Debian
- 2.
- Strong Distribution HOWTO
- 3.
- APT-Fehlerseite
23 November 2024 | APT 2.9.23 |