[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Installation utan brandvägg ?

Hej

Den 4 november 2014 00:45 skrev Rolf Edlund <rolfewise@gmail.com>:
> Den 3 november 2014 22:42 skrev Anders Jackson <anders.jackson@gmail.com>:
>> Vad är problemet?  Alla paket i Debian har en signatur.
>>
>> Ja, diskussionen är kul med routrar och bakdörrar.  Men det är inte
>> relevant för säker installation av Debian.
>>
>> Den signaturen kommer från listan över paket, den listan är kryptiskt
>> signerad med Debians nyckelpar.  Så paketlistan är garanterad att
>> komma från Debian och vara oförändrad.   När man laddar ned paket så
>> tar man checksumma på paketet.  Stämmer det inte med det som finns i
>> paketlista, så installeras det inte (såvida du inte explicit godkänner
>> det).
>
> Nu vet jag inte vem du svarar här Anders.

Hela listan.  Det är en "non issue" eftersom det går att garantera att
de paket som laddas ned från internet är ursprungligen från Debian.
Så vad någon som lyssnar av din trafik gör, så kan de inte skjuta in
data så att de får in sin version av paketet i din dator.

Som någon annan skrev.  Så länge du inte kör någon tjänst som lyssnar
på ingående anrop till den maskin som du installerar på, så behöver du
inte någon brandvägg.  Det gör inte installationsprogrammet. Såvida du
inte litar på Debian och vill igång en brandvägg på utgående trafik på
den maskin som du installerar.  Men då vet jag inte varför du
överhuvud taget vill använda Debian om du inte litar på
installationsprogrammet.

>> Så ja, det spelar inte någon roll om det finns någon MiM som kan
>> förändra innehållet i det data som skickas till din dator, så länge
>> som du kollar signaturen på det media du installerar Debian från.
>> Är mediat du installerar från ok, så är Debians signatur korrekt, och
>> då kan vi kolla paketlistan som kommer från Debian.  Har vi den listan
>> så kan vi kolla checksumman för varje paket och kolla om det stämmer
>> med listan. Gör den det, så kan vi garantera att paketet ursprungligen
>> kommer från Debian och är oförändrat.  Via MiM, via någon elaking, en
>> Debian mirror eller direkt från Debian.  Men det är rätt paket.
>>
>> Att skydda datorn från attacker utifrån är ganska enkel.  Installera
>> inte någon tjänst innan en brandvägg är inställd och startad.  Kanske
>> med undantaget för SSH.
>
> Nu blir jag lite förvirrad här. Du menar alltså att man inte alls
> behöver någon brandvägg, under tiden man installerar ?

Du behöver inte någon brandvägg när du installerar Debian, så länge
som DU inte installerar något paket som lyssnar på inkommande data,
som en webserver, filserver eller liknande.  Vilket en
grundinstallation utan tjänster och grafik inte gör.
När du har installerat och startat om så vill du kanske installerar
mera saker, men då är det bara att installera brandväggen på din
Debian-maskinen, konfigurera och starta den.  Sedan så är du skyddad
mot alla ingående attacker på din maskin som du inte medvetet släppt
igenom.  Installera nu bara resten av systemet som du vill och öppna
de portar som du vill ha öppna på det sätt du vill ha.

> --
> /Rolf

/Jackson
Reply to: