Selam, Eğer security.debian.org olarak araya başka makine girerse şu an için otomatize edilmiş bir çözüm yok. Olay nasıl ona bakalım:
- Çektiğiniz deb paketlerinin md5 checksum değerleri Packages.gz dosyasında yazıyor. Ancak Packages.gz dosyası da saldırgan tarafından uygun şekilde değiştirilmiş olabilir. - Packages.gz dosyasının md5 checksumı Release dosyası içerisindedir ancak bu da değişmiş olabilir. - Release dosyasının gpg ile sign edilmiş hali Release.gpg'dir. Bu dosyayı çekip kontrol edebilirsiniz. Keyi keyring.debian.org'dan veya http://ftp-master.debian.org/ziyi_key_2003.asc adresinden çekebilirsiniz. Bu işleri daha hızlıca yapmak için şu shell scripti kullanabilirsiniz: http://people.debian.org/~ajt/apt-check-sigs Ayrıca bu işlem için paket yönetim sisteminde iyileştirmeler planlanıyor. Sal 23 Eyl 2003 18:45 tarihinde, [EMAIL PROTECTED] şunları yazmıştı: > Merhaba, > > Soyle bir seneryo uretelim. Mesela x ulkesinde Her yerde debian > kullanilsaydi. Bu bir sekilde duyulsaydi. Bu security update leri > esnasinda birileri x ulkesinden gelen ip araliginda gelen paketleri sahte > bir security.debian.org'a yonlendirip security patch'lari vasitasiyla bu > serverlara girebilir miydi? > Gercekten o siteye baglandigindan nasil emin olunurdu? md5 falan bir > cheksum mekanizmasi var mi? > > Bilgin > > Quoting Recai Oktas <[EMAIL PROTECTED]>: > > * E&Erdem <[EMAIL PROTECTED]> [2003-09-22 18:09:37+0300] > > > > > Merhaba, > > > Guvenlik listesinde, guncellestirilmesi istenen paketleri apt-get ile > > > guncellestiremiyorum, ya da bana oyle geliyor. > > > > > > Adi verilen apt-get adresi sources.list'te olmasina ragmen apt-get > > > update, apt-get upgrade yaptigimda guncellestirilecek paketler > > > listesinde bu dosyalarin adlarini goremiyorum. > > > > Bunun nedenini anlamaniz icin Debian'da guvenlik yamalarinin ne sekilde > > yayimlandigini anlamaniz lazim. Debian Security FAQ[1]'yu okumanizda > > yarar var. Kisaca izah etmek gerekirse: > > > > Guvenlik guncellemeleri *genel olarak* (fakat kesin degil) once > > unstable'a uygulanir ve oradan da "stable"daki versiyona geri tasinir. > > Guvenlik yamalarinin oncelikli ve en onemli hedefi *kararli* surumdur. > > (Yamanin once unstable'a girmesi basitce `staging' olarak > > degerlendirilebilir, fakat kesinlikle kural degildir.) Ikincil olarak > > "testing" dikkate alinir ve "stable"daki guvenlik acigi duzeltildikten > > belirsiz bir sure sonra bu yama "testing"e de uygulanir. Buradaki > > belirsizliklere dikkat! Yama bazen ayni anda her uc surume de > > uygulanir, bazen "unstable"a girer ve "stable"a geri tasinir ve bir sure > > sonra gecikmeli olarak "testing"de yerini alir. Fakat belirsiz olmayan > > tek sey "kararli" surumun en kisa zamanda mutlaka guvenlik > > guncellemesinden gececegidir. Buradan cikan sonuclar: > > > > * Guvenlik sizin icin cok onemliyse "stable"dan sasmayin. > > > > * "unstable" "testing"e gore goreceli olarak daha guvenlidir (yukarida > > anlattigim mekanizmadan dolayi). Sistem/paket kararliligi acisindan > > tam tersi gecerli suphesiz. > > > > * Guvenlik yamalari icin: > > > > deb http://security.debian.org/ stable/updates > > deb http://security.debian.org/ testing/updates > > > > depolari anlamlidir. Fakat: > > > > deb http://security.debian.org/ unstable/updates > > > > gibi bir link anlamli degildir. (Boyle bir depo yoktur.) > > > > Siz saniyorum "unstable"i takip ediyorsunuz, /etc/apt/sources.list'deki > > `security' depolarinda stable veya testing tanimli ve fakat > > makinanizdaki butun paketler unstable'dan alinma ise sisteminizde > > guncelleme yapilmaz. > > > > > Ayrica ssh ile ilgili guvenlik acigi uyarinca 3.4.1'i kurmustum simdi > > > apt-get upgrade yapinca 3.6.1 yuklendi. Bunu nasil onlerim, ya da bu > > > yeni pakette de bu acik duzeltilmis midir? > > > > Yukarida izah ettigim gerekcelerle ssh 3.6.1 cok *muhtelemelen* > > 3.4.1'deki guvenlik acigi kapatilmis bir versiyondur (changelog'lari > > inceleyin). Diger soru icin: bir paketin guncellenmesini onlemek > > amaciyla onu "hold"a almaniz lazim, dselect'te paketi secip `=' tusuna > > basarsaniz bu islem gerceklesir. > > > > [1] http://www.debian.org/security/faq > > > > (Bu belge FM Ceviri'de su an ceviriliyor, bir an once bitse guzel olurdu > > aslinda :-) > > > > -- > > roktas > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED]