Sécurité et paquets non identifiés

Eikasia · Le 06/01/2006, à 22:49

eikasia@hetaire:~$sudo noob start

Bonjour

je decouvre Ubuntu ( et Linux) depuis peu, bien qu'etant adpete de libre sous windows...
Comme tout bon gars ayant bourlingué sur microsoft je suis un petit peu parano coté sécurité et je me posais quelques questions.

Tout d'abord en ce qui concerne les dépots. J'ai suivi de la doc du wiki ainsi que le site yek-ubuntu pour installer qlq dépots notamment pour résoudre les problèmes de lecture de dvd et obtenir OOo 2.0. Mais il m'arrive desormais d'avoir des messages d'avertissement concernant des paquets non authentifiés.:/

1. Dois-je m'inquietter ?
je vous joins ma liste de dépots pour voir :

## FTP mirror from http://free.fr (french ISP)
deb ftp://ftp.free.fr/pub/Distributions_Linux/plf/ubuntu/plf/ breezy free non-free
deb-src ftp://ftp.free.fr/pub/Distributions_Linux/plf/ubuntu/plf/ breezy free non-free

deb-src http://archive.ubuntu.com/ubuntu breezy main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://archive.ubuntu.com/ubuntu breezy-updates main restricted
deb-src http://archive.ubuntu.com/ubuntu breezy-updates main restricted

## Uncomment the following two lines to add software from the 'universe'
## repository.
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team

deb http://archive.ubuntu.com/ubuntu breezy universe multiverse main restricted
deb-src http://archive.ubuntu.com/ubuntu breezy universe multiverse

## Security Updates
deb http://security.ubuntu.com/ubuntu breezy-security main restricted
deb-src http://security.ubuntu.com/ubuntu breezy-security main restricted

deb http://security.ubuntu.com/ubuntu breezy-security universe multiverse
deb-src http://security.ubuntu.com/ubuntu breezy-security universe multiverse

## Hoary Extras (October 16 2005: Breezy Extras are not curently available)
deb http://ubuntu-backports.mirrormax.net/ hoary-extras main universe multiverse restricted

## Skype (October 16 2005: Broken)
## deb http://download.skype.com/linux/repos/debian/ stable non-free

-> Je suppose que ces avertissements sont dûs à des dépots non libres mais je n'en suis pas certain et dans le doute....

2. Du coup je me demande comment fait on pour vérifier si "un individu malintentionné prend le controle de notre machine" comme il est dit ?et n'y a t il pas un moyen d'anticiper les ennuis:(
en théorie je ne dois pas trop craindre les virus, trojans, spywares etc... non ?

3. Je me doute bien qu'il ne doit pas y avoir de listes de dépots idéales mais bon n'y aurait il pas qlq indispensables et autres "très utiles" ?

Voilà fini de vous embeter et désolé pour mes questions de débutants

eikasia@hetaire:~$sudo noob stop:P

mr_pouit · Le 07/01/2006, à 00:58

Tant que les dépôts sont assez connus et utilisés, il y a peu de risques... il faut juste éviter d'entrer des dépôts trouvés sur des sites persos ou autre (on ne sait jamais ).

De ce que j'ai compris des dépôts debian/ubuntu :
En gros, pour un dépôt, la liste des paquets est stockée dans un fichier Packages, qui contient entre autres:
- nom du paquet
- dépendances
- version
- description
- sommes de contrôle md5 (pour que apt puisse vérifier que le paquet téléchargé n'est pas corrompu).

Ensuite, les fichiers Packages de chaque architecture (i386, amd64, ppc) et de chaque section (main, universe, multiverse, restricted) sont répertoriés dans un fichier Release :
- emplacement du fichier Packages
- somme de contrôle md5 "
- somme de contrôle SHA1 "

Mais ces fichiers sont de simples fichiers textes, et imaginons que le serveur soit compromis par un petit malin qui trafique les paquets, et les fichiers, et donc il t'installe n'importe quoi...

C'est pour ça qu'un autre fichier est créé, Release.gpg : c'est le fichier Release, signé avec une clé GPG que le mainteneur du dépôt est le seul à posséder : cela t'assure que les paquets ont bien été mis par le mainteneur officiel du dépôt et pas par un petit malin. APT s'assure ainsi que tous les fichiers correspondent bien à leur description dans Release.gpg.

Donc quand tu as un avertissement, c'est que les dépôts ne contiennent pas de Release signé, donc qu'ils peuvent contenir des paquets potentiellement dangereux .

pour moi, les dépôts "indispensables" :

### Version des sources en utilisant les miroirs de Free

## CD-ROM
#deb cdrom:[Ubuntu 5.10 _Breezy Badger_ - Release i386 (20051012)]/ breezy main restricted

## Dépôts officiels
deb ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy main restricted
#deb-src ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy main restricted

deb ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-updates main restricted
#deb-src ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-updates main restricted

deb ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy universe multiverse
#deb-src ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy universe multiverse

deb ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-security main restricted
#deb-src ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-security main restricted

deb ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-security universe
#deb-src ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-security universe

## Backports officiels
deb ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-backports main universe multiverse restricted
#deb-src ftp://ftp.free.fr/mirrors/ftp.ubuntu.com/ubuntu breezy-backports main universe multiverse restricted

## Backports extras (non officiels)
deb http://ubuntu-backports.mirrormax.net/ breezy-extras main restricted universe multiverse
#deb http://ubuntu-backports.mirrormax.net/ breezy-extras-staging main restricted universe multiverse

## Dépôts PLF
deb http://packages.freecontrib.org/ubuntu/plf/ breezy free non-free
#deb-src http://packages.freecontrib.org/ubuntu/plf/ breezy free non-free

## Freecontrib (par PLF)
deb http://packages.freecontrib.org/ubuntu/freecontrib/ breezy free non-free
#deb-src http://packages.freecontrib.org/ubuntu/freecontrib/ breezy free non-free

# Dépôt pour OOo2
deb http://people.ubuntu.com/~doko/OOo2 ./

(- J'ai remplacé les dépôts par défaut par les miroirs de chez Free, mais c'est par commodité, car c'est mon FAI...)
- Je ne sais pas si les backports Extras (non officiels) sont encore maintenus
- les PLF permettent d'avoir des paquets non disponibles dans les dépôts officiels pour des raisons légales
- le dernier dépôt est celui d'un développeur d'ubuntu qui a compilé OpenOffice.org 2.0 (car ubuntu n'intègre que la 1.9.129 je crois)

Et j'ai 2 ou 3 avertissements car les dépôts PLF, et pour OOo2 ne sont pas signés

Dernière modification par mr_pouit (Le 07/01/2006, à 01:13)

Eikasia · Le 07/01/2006, à 11:55

Bonjour,
merci pour tes explications et pour ta liste de dépots

Je peux completement effacer ma liste du fichier /etc/apt/sources.list et mettre les tiens sans souci ?

mr_pouit · Le 07/01/2006, à 12:05

Eikasia a écrit :

Je peux completement effacer ma liste du fichier /etc/apt/sources.list et mettre les tiens sans souci ?

A priori, pas de soucis... mais fais en une copie au cas où

Dernière modification par mr_pouit (Le 07/01/2006, à 12:05)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/01/2006, à 22:49

Sécurité et paquets non identifiés

#2 Le 07/01/2006, à 00:58

Re : Sécurité et paquets non identifiés

#3 Le 07/01/2006, à 11:55

Re : Sécurité et paquets non identifiés

#4 Le 07/01/2006, à 12:05

Re : Sécurité et paquets non identifiés

Pied de page des forums