[gull] Re: [gull-annonces] Serveurs Debian compromis

Marc SCHAEFER schaefer at alphanet.ch
Tue Nov 25 17:01:01 CET 2003


On Tue, Nov 25, 2003 at 03:04:13PM +0100, Jean-Bruno Luginbühl wrote:
> Donc c'est un mauvais point pour apt-get?

- Les sources sont signées par les développeurs (fichier dsc) avec
  GPG (en fait les md5sums et la description du package est signée)

- Le fichier Release (qui contient les md5sums des divers fichiers
  Packages utilisés par apt-get) pour une version donnée (p.ex. woofy)
  sont signés GPG par une clé annuelle d'archive.

- Les fichiers Packages contiennent les sources d'installation
  de packages, les descriptions et un md5sum pour chaque package
  binaire ou source.

Donc il y a tout dans le système pour:

   - vérifier qu'apt-get n'utilise que des fichiers Packages officiels
     (packages binaires ou sources)

   - vérifier chaque package source individuellement avec la keyring
     des développeurs

Optionnellement on peut aussi avoir des signatures directement dans
les fichiers .deb (voir le package debsigs). On peut l'activer
en installant debsig-verify. Je ne l'ai jamais fait, peut-être
quelqu'un d'autre peut commenter.

Ce que j'ai fait par contre est d'utiliser un script qui expurge
/etc/apt/sources.list des sources non signées (le relancer à
chaque apt-get update). Les md5sums sont vérifiés par défaut.
Ce script se nomme apt-check-sigs.

Il est clair que cela serait bien que tout cela s'uniformise, et
j'espère avant la sortie de sarge.  Quelqu'un peut commenter ?





More information about the gull mailing list