'\" t
.\" Title: apt-secure
.\" Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.78.1
.\" Date: 09\ \&czerwiec\ \&2012
.\" Manual: APT
.\" Source: APT 1.0.9.8.4
.\" Language: Polish
.\"
.TH "APT\-SECURE" "8" "09\ \&czerwiec\ \&2012" "APT 1.0.9.8.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAZWA"
apt-secure \- Wsparcie APT dla autentykacji archiwum\&.
.SH "OPIS"
.PP
Począwszy od wersji 0\&.6
\fBapt\fR
zawiera kod sprawdzający sygnatury plik\('ow "Release" wszystkich archiw\('ow\&. Zapewnia to, że pakiety w archiwum nie mogą być zmieniane przez ludzi nie mających dostępu do klucza używanego do podpisywania plik\('ow "Release"\&.
.PP
Jeśli pakiet pochodzi z archiwum niemającego sygnatury lub mającego sygnaturę, dla kt\('orej APT nie ma klucza, to pakiet taki jest uznawany za niezaufany, a podczas jego instalacji zostanie wypisane ostrzeżenie\&. Obecnie
\fBapt\-get\fR
tylko wypisuje ostrzeżenia o niepodpisanych archiwach, przysz\(/le wydania mogą wymuszać, by wszystkie źr\('od\(/la by\(/ly zweryfikowane, zanim w og\('ole APT spr\('obuje z nich pobrać pakiety\&.
.PP
Nak\(/ladki na APT typu
\fBapt-get\fR(8),
\fBaptitude\fR(8)
i
\fBsynaptic\fR(8)
obs\(/lugują ten nowy spos\('ob autoryzacji pakiet\('ow\&.
.SH "ZAUFANE ARCHIWA"
.PP
\(/Lańcuch zaufania prowadzący z archiwum APT do użytkownika końcowego sk\(/lada się z kilku r\('ożnych krok\('ow\&.
\fBapt\-secure\fR
jest ostatnim z nich\&. Ufanie archiwum nie oznacza, że pakiety z tego archiwum nie zawierają z\(/lośliwego kodu, ale oznacza ufanie opiekunowi archiwum\&. Obowiązkiem opiekuna archiwum jest zapewnienie poprawności integralności archiwum\&.
.PP
apt\-secure nie sprawdza sygnatur na poziomie pakiet\('ow\&. Aby sprawdzać te rzeczy, powinno się przyjrzeć poleceniom
\fBdebsig\-verify\fR
i
\fBdebsign\fR
(dostarczanych odpowiednio w pakietach debsig\-verify i devscripts)\&.
.PP
\(/Lańcuch zaufania w Debianie zaczyna się od wgrania nowego pakietu lub nowej wersji pakietu przez jego opiekuna do archiwum Debiana\&. Dostarczony przez opiekuna pakiet musi być podpisany przez klucz opiekuna znajdujący się w sk\(/ladnicy kluczy opiekun\('ow Debiana (dostępnej w pakiecie debian\-keyring)\&. Klucze opiekun\('ow są podpisane przez innych opiekun\('ow, tak jak wymagają tego odpowiednie procedury używane w Debianie do identyfikacji posiadacza klucza\&.
.PP
Po tym jak dostarczony przez opiekuna pakiet zostanie zweryfikowany i do\(/lączony do archiwum, sygnatura opiekuna jest usuwana, a sumy kontrolne pakietu są wyliczane i umieszczane w pliku Packages\&. Sumy kontrolne wszystkich plik\('ow Packages są następnie wyliczane i umieszczane w pliku Release\&. Plik Release jest następnie podpisywany przy użyciu klucza archiwum tego wydania dystrybucji Debian i dystrybuowany wraz z pakietami i plikami Packages przez serwery lustrzane Debian\&. Klucze archiwum znajdują się w sk\(/ladnicy kluczy Debian dostępnej w pakiecie
debian\-archive\-keyring\&.
.PP
Użytkownicy końcowi mogą sprawdzić sygnaturę pliku Release, wydobyć z niego sumę kontrolną MD5 pakietu i por\('ownać ją z sumą kontrolną MD5 pobranego pakietu\&. Mogą też polegać na tym, że APT zrobi to automatycznie\&.
.PP
Proszę zauważyć, że jest to czym innym niż sprawdzanie sygnatur poszczeg\('olnych pakiet\('ow\&. Zosta\(/lo to zaprojektowane tak, aby uchronić przed dwoma możliwymi typami atak\('ow:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ataki sieciowe "cz\(/lowiek pośrodku" (ang\&. "man in the middle")\&. Jeżeli sygnatury nie są sprawdzane, to ktoś z\(/lośliwy może wprowadzić siebie w proces pobierania pakiet\('ow i dostarczyć z\(/lośliwe oprogramowanie albo przez przejęcie kontroli elementu infrastruktury sieciowej (router, prze\(/lącznik itp\&.), albo przez przekierowanie ruchu do fa\(/lszywego serwera (przez rozsy\(/lanie fa\(/lszywych pakiet\('ow ARP lub DNS, ang\&. "ARP (DNS) spoofing")\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Z\(/lamanie zabezpieczeń sieci serwer\('ow lustrzanych (ang\&. "mirror network compromise")\&. Jeśli sygnatury nie są sprawdzane, to ktoś z\(/lośliwy może w\(/lamać się na serwer lustrzany, zmodyfikować tam pliki, co spowodowa\(/loby udostępnienie z\(/lośliwego oprogramowania wszystkim użytkownikom pobierającym pakiety z tego serwera\&.
.RE
.PP
Jednakże nie chroni przed z\(/lamaniem zabezpieczeń g\(/l\('ownego serwera Debiana (używanego do podpisywania pakiet\('ow) lub z\(/lamaniem zabezpieczeń klucza używanego do podpisywania plik\('ow Release\&. Mechanizm ten stanowi uzupe\(/lnienie dla sprawdzania sygnatur poszczeg\('olnych pakiet\('ow\&.
.SH "KONFIGURACJA UŻYTKOWNIKA"
.PP
\fBapt\-key\fR
jest programem s\(/lużącym do zarządzania listą kluczy używanych przez APT\&. Można go użyć do dodania lub usunięcia klucza, chociaż zainstalowanie bieżącego wydania automatycznie dostarczy domyślny klucz używany w repozytoriach pakiet\('ow Debiana do podpisywania archiw\('ow Debiana\&.
.PP
Aby dodać nowy klucz, należy go najpierw pobrać (używając zaufanego kana\(/lu komunikacji podczas pobierania), dodać go poleceniem
\fBapt\-key\fR
oraz uruchomić
\fBapt\-get update\fR, tak żeby APT mog\(/lo pobrać i zweryfikować pliki
InRelease
lub
Release\&.gpg
ze skonfigurowanych archiw\('ow\&.
.SH "KONFIGURACJA ARCHIWUM"
.PP
Aby do\(/lączyć sygnatury do archiwum, kt\('orym się opiekujesz, należy:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIUtworzyć plik Release w katalogu najwyższego poziomu\fR, jeśli jeszcze nie istnieje\&. Można to zrobić używając
\fBapt\-ftparchive release\fR
(dostarczanego w pakiecie apt\-utils)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIPodpisać go\fR\&. Można to zrobić za pomocą poleceń
\fBgpg \-\-clearsign \-o InRelease Release\fR
i
\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIOpublikować odcisk klucza (ang\&. "key fingerprint")\fR, tak żeby użytkownicy wiedzieli, kt\('ory klucz zaimportować, żeby m\('oc autoryzować plik\('ow w archiwum\&.
.RE
.PP
Po każdej zmianie zawartości archiwum (dodaniu lub usunięciu pakiet\('ow), opiekun archiwum musi wykonać pierwsze dwa z wymienionych powyżej krok\('ow\&.
.SH "ZOBACZ TAKŻE"
.PP
\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1),
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
Więcej informacji można znaleźć w rozdziale "\m[blue]\fBDebian Security Infrastructure\fR\m[]\&\s-2\u[1]\d\s+2" podręcznika "Securing Debian Manual" i w dokumencie "\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2" napisanym przez V\&. Alexa Brennena\&.
.SH "BUGS"
.PP
\m[blue]\fBStrona b\(/lęd\('ow APT\fR\m[]\&\s-2\u[3]\d\s+2\&. Aby zg\(/losić b\(/ląd w APT, proszę przeczytać
/usr/share/doc/debian/bug\-reporting\&.txt
lub opis polecenia
\fBreportbug\fR(1)\&.
.SH "AUTOR"
.PP
APT zosta\(/lo napisane przez zesp\('o\(/l APT
\&.
.SH "AUTORZY STRONY PODRĘCZNIKA"
.PP
Ta strona podręcznika jest oparta na pracy następujących os\('ob: Javier Fern\('andez\-Sanguino Pe\(~na, Isaac Jones, Colin Walters, Florian Weimer i Michael Vogt\&.
.SH "T\(/LUMACZENIE"
.PP
T\(/lumaczenie stron podręcznika: Robert Luberda
, 2000\-2012\&. T\(/lumaczenie przewodnika offline: Krzysztof Fiertek
, 2004
.PP
Proszę zauważyć, że przet\(/lumaczony dokument może zawierać fragmenty nieprzet\(/lumaczone\&. Ma to na celu uniknięcie utracenia istotnych informacji, w przypadkach gdy orygina\(/l zostanie zaktualizowany, a t\(/lumaczenie \- nie\&.
.SH "AUTORZY"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.PP
\fBzesp\('o\(/l APT\fR
.RS 4
.RE
.SH "PRZYPISY"
.IP " 1." 4
Debian Security Infrastructure
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7
.RE
.IP " 2." 4
Strong Distribution HOWTO
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
Strona b\(/lęd\('ow APT
.RS 4
\%http://bugs.debian.org/src:apt
.RE