Discussione:
Aggiornamento APT
(troppo vecchio per rispondere)
afymmebe-2619@yopmail.com
2016-12-15 14:32:54 UTC
Permalink
Raw Message
Ho appena scaricato l'aggiornamento di APT nel quale si fa riferimento a
problematiche di autenticazione dei pacchetti. Direi roba di non poco
conto in uno scenario (potenziale) man-in-the-middle, come specificato
nelle note. Come si possono verificare i pacchetti già scaricati ed
installati (anche se molti vengono cancellati per fare spazio) siano
legittimi e non taroccati?
Infine, secondo voi, è conveniente reinstallare tutto da zero?
In questo caso, visto che all'installazione iniziale c'è il pacchetto
APT errato, come si sostituisce preventivamente?
enoquick
2016-12-16 02:29:22 UTC
Permalink
Raw Message
Post by afymmebe-***@yopmail.com
Ho appena scaricato l'aggiornamento di APT nel quale si fa riferimento a
problematiche di autenticazione dei pacchetti. Direi roba di non poco
conto in uno scenario (potenziale) man-in-the-middle, come specificato
nelle note. Come si possono verificare i pacchetti già scaricati ed
installati (anche se molti vengono cancellati per fare spazio) siano
legittimi e non taroccati?
Se un esiste un md5 o simile e' l'unico modo.
Post by afymmebe-***@yopmail.com
Infine, secondo voi, è conveniente reinstallare tutto da zero?
In questo caso, visto che all'installazione iniziale c'è il pacchetto
APT errato, come si sostituisce preventivamente?
Non lo aggiorna lui ?
Se temi che quello nuovo scaricato non sia l'originale fai un md5 (o
simile)
E per tagliare la testa al toro controlla con netstat a quale ip si collega.
Cosentino
2016-12-16 10:03:00 UTC
Permalink
Raw Message
Post by enoquick
Ho appena scaricato...o cancellati per fare spazio) siano
legittimi e non taroccati?
Se un esiste un md5 o simile e' l'unico modo.
Capisco, ma dove trovarli? Eventualmente gli aggiornamenti che vengono
scaricati nella sessione come controllarli tutti in una volta? Altrimenti
diventa un lavoro improbo....
Post by enoquick
Infine, secondo voi, è conveniente reinstallare tutto da zero?
In questo caso, visto che all'installazione iniziale c'è il pacchetto
APT errato, come si sostituisce preventivamente?
Non lo aggiorna lui ?
In realtà appena installato il sistema ha il vecchio APT, dunque insicuro,
per cui sarebbe un lavoro potenzialmente inutile... ;)
Questo proprio per cercare il "pelo nell'uovo"...
Secondo me prima andrebbe scaricato e controllato APT (in una
installazione da zero) e poi tutto il resto.
Post by enoquick
Se temi che quello nuovo scaricato non sia l'originale fai un md5 (o
simile)
E per tagliare la testa al toro controlla con netstat a quale ip si collega.
Ma in man in the middle questo è significativo?
Che tipo di risultato dovrei trovare?
--
Questo messaggio e' frutto di fantasia e non deve essere
collegato a persone o a fatti reali. Serve solo come spunto
di riflessione.
Alessandro Selli
2016-12-16 11:49:48 UTC
Permalink
Raw Message
Il giorno Fri, 16 Dec 2016 10:03:00 GMT
Post by Cosentino
Post by enoquick
Ho appena scaricato...o cancellati per fare spazio) siano
legittimi e non taroccati?
Se un esiste un md5 o simile e' l'unico modo.
Capisco, ma dove trovarli?
[***@wkstn03 ~]$ apt-cache show re2c
Package: re2c
Version: 0.13.5-1
Installed-Size: 532
Maintainer: Robert S. Edmonds <***@debian.org>
Architecture: amd64
Depends: libc6 (>= 2.7-1), libgcc1 (>= 1:4.1.1), libstdc++6 (>= 4.2.1)
Description: tool for generating fast C-based recognizers
Description-md5: 684776b6d5a7452dd5f5ce82735fee8c
Homepage: http://re2c.sourceforge.net/
Tag: devel::code-generator, devel::lang:c, interface::commandline,
role::program, scope::utility, use::searching
Section: devel
Priority: optional
Filename: pool/DEBIAN/main/r/re2c/re2c_0.13.5-1_amd64.deb
Size: 220688
MD5sum: bb18ff5a86eab7b1858d5bd7103d4e9e
SHA1: 5d29a4e9d4d0c34c2262e3123778b6db1cbe8012
SHA256: 088fe6eb258136cd312f03163bd16bf13394357a8159bac70c5a86db1a891aa6

[***@wkstn03 ~]$ for CHECK in md5 sha1 sha256 ; do
${CHECK}sum /var/cache/apt/archives/re2c_0.13.5-1_amd64.deb ; done
bb18ff5a86eab7b1858d5bd7103d4e9e /var/cache/apt/archives/re2c_0.13.5-1_amd64.deb
5d29a4e9d4d0c34c2262e3123778b6db1cbe8012 /var/cache/apt/archives/re2c_0.13.5-1_amd64.deb
088fe6eb258136cd312f03163bd16bf13394357a8159bac70c5a86db1a891aa6 /var/cache/apt/archives/re2c_0.13.5-1_amd64.deb
[***@wkstn03 ~]$

Per quanto riguarda la firma crittografica dei pacchetti Debian, rimando
alla guida: https://wiki.debian.org/SecureApt


Ciao,
--
Alessandro Selli http://alessandro.route-add.net
VOIP SIP: ***@ekiga.net
Chiavi PGP/GPG keys: B7FD89FD, 4A904FD9
Cosentino
2016-12-16 16:03:33 UTC
Permalink
Raw Message
Post by Alessandro Selli
Il giorno Fri, 16 Dec 2016 10:03:00 GMT
...
Post by Cosentino
Capisco, ma dove trovarli?
Package: re2c
Version: 0.13.5-1
Installed-Size: 532...
Per quanto riguarda la firma crittografica dei pacchetti Debian, rimando
alla guida: https://wiki.debian.org/SecureApt
Scusa ma non ho capito bene come funziona l'ingranaggio.....
--
Questo messaggio e' frutto di fantasia e non deve essere
collegato a persone o a fatti reali. Serve solo come spunto
di riflessione.
Loading...