Re: Agent mail

[Dorian Carpentier de Changy]

Le 15/10/2013 12:36, Johnny B a écrit :
Le 10/15/2013 10:31 AM, Sébastien NOBILI a écrit :
Le lundi 14 octobre 2013 à 22:47, Johnny B a écrit :
Cette procédure permet d'installer les dernières versions de
Thunderbird et Firefox
http://www.mozilladeb.fr/
Cette procédure permet d'installer ces deux logiciels sous forme 
binaire sans
aucune indication de leur origine.

Qu'est-ce qui garantit que ces binaires sont dignes de confiance ?
Qu'est-ce qui garantit qu'ils ne sont pas porteur d'un rootkit 
quelconque ?
Sans aller jusqu'à ces considérations extrêmes, qu'est-ce qui 
garantit que le
responsable de ce dépôt n'a pas activé ou désactivé une option de 
compilation
pour ses propres besoins mais qui irait à l'encontre des tiens¹ ?

¹ ce point est fondé sur mon expérience personnelle, je maintiens un 
dépôt dans
lequel je recompile des paquets en désactivant certaines fonctions 
dont je ne
veux pas.

Ne *jamais* ajouter de dépôt binaire dont on ne peut vérifier la 
confiance ! (ou
alors faire une croix sur la sécurité de son système…)

Seb
Il suffit de checker les binaires avec un debsum ;)

Les MD5 et moi, ce n'est pas encore le convolage.
MD5 calcule l'intégrité d'un fichier (comme les clients bittorrent 
vérifient les copies installées des fichiers)?
Mais si je lance un debsums nom.paquet depuis une vérification en local 
quel script/client me garantit qu'il vérifie le hashage avec un site 
hébergeant les paquets réputé intègre au quel j'ajoute que la version 
installée par les sources sont par définition pas marqués 'supporté' 
(qu'est-ce qui gère dans ce cas l'origine du fichier - l'intégrité du 
fichier - la BD Réputation d'un site faisant autorité/source )

Repris du man,page:

 Les fichiers ayant été remplacés  par  un  autre  paquet  peuvent  être
       considérés à tort comme ayant été modifiés.

       *debsums*   est  principalement  destiné  à être utilisé comme un moyen 
de
       déterminer les fichiers installés qui ont été modifiés  localement  par
       l’administrateur  ou endommagés par des erreurs de support physique. Il
       est d’une utilité limitée en tant qu’outil de sécurité.

       Si vous recherchez un vérificateur d’intégrité qui puisse être  exécuté
       depuis  un support sûr, qui fasse des vérifications d’intégrité sur les
       bases de données des sommes de contrôle et qui puisse  être  facilement
       configuré pour se lancer périodiquement et avertir l’administrateur des
       changements, veuillez regarder d’autres outils comme :*aide*,*integrit*,
       *samhain*  ou*tripwire*.



<<attachment: dechangydorian.vcf>>