Rpm= Schädlingstransport

Masei1202_3a380a · 9. November 2019 um 01:09

Ist es bereits im Gange,
rpm-Verzeichnisse mit Schädlingen auszustatten?
Schliesslich ist die angeblich größte Hürde der -OS und Distributionsabfrage- mit der rpm-Datei genommen.
(rpm´s sind immer nur für gewisse Distributionen geschrieben, unterteilt nach Maschine usw,)
Man kann also explizit Schädliche ausführbare Dateien in einem rpm Verzeichnis unterbringen, wo keine Sau so recht weiss ob sie zum Programm dazu gehören. Was ich bisher eigentlich vermisse oder nicht erkannt habe, ist ein Sicherungsmechanismus, welcher die Dateien signiert.
Jeder Waldlaeufer kann demnach Verzeichnisse zusammenstellen und sie zum Download anbieten.
Was ich von rpmseek oder von packman bekomme weiß ich auch nicht unbedingt. . .
kann mir hier jemand weiterhelfen?

Masei1202

Der_Frank_176821 · 9. November 2019 um 01:09

Ist es bereits im Gange,
rpm-Verzeichnisse mit Schädlingen auszustatten?

Kommt drauf an, woher Du Dir Deine RPMs zusammensammelst. Wenn die aus dem Esel fallen oder von zwielichtigen Seiten mit schwarzer Hintergrundfarbe und gruener Schrift… Mir ist allerdings kein Fall bekannt (was natuerlich nichts heissen muss).

Man kann also explizit Schädliche ausführbare Dateien in einem
rpm Verzeichnis unterbringen, wo keine Sau so recht weiss ob
sie zum Programm dazu gehören.

Ja. Klar.

Was ich bisher eigentlich vermisse oder nicht erkannt habe, ist ein
Sicherungsmechanismus, welcher die Dateien signiert.

MD5 existiert. Ueblicheweise kann man die MD5-Hashs von der Seite des Distributors herunterladen, meist auch PGP-Signiert. In Abhaengigkeit von der Distribution ist eine entsprechende Pruefung bereits in das Paketmanagement eingebaut. Vertraut man diesem Hash oder der Signatur kann man das eigentliche Quellpaket auch aus einer nicht vertrauenswuerdigen Quelle (siehe oben) nehmen.

Jeder Waldlaeufer kann demnach Verzeichnisse zusammenstellen
und sie zum Download anbieten.
Was ich von rpmseek oder von packman bekomme weiß ich auch
nicht unbedingt. . .

Es gilt das gleiche wie fuer jede andere Software, distributions- und sogar betriebssystemunabhaengig: verwende keine Software zweifelhaftem Ursprungs.

Gruss vom Frank.