Scroll to navigation

APT-SECURE(8) APT APT-SECURE(8)

NAME

apt-secure - Ondersteuning in APT voor de authenticatie van archieven

OMSCHRIJVING

Met ingang van versie 0.6 bevat APT code die voor alle pakketbronnen de ondertekening controleert van het bestand Release. Dit geeft de garantie dat gegevens, zoals pakketten, uit het archief niet gewijzigd kunnen worden door mensen die geen toegang hebben tot de sleutel waarmee het bestand Release ondertekend wordt. Met ingang van versie 1.1 vereist APT dat pakketbronnen recente authenticatie-informatie verstrekken om die pakketbron ongehinderd te kunnen gebruiken.
Indien een archief een niet-ondertekend Release-bestand of helemaal geen Release-bestand heeft, zullen alle hedendaagse versies van APT bij update-operaties standaard weigeren om er gegevens van op te halen. En zelfs als ze tot ophalen verplicht worden, zullen frontends, zoals apt-get(8), om een expliciete bevestiging vragen als bij een installatieverzoek een pakket uit een dergelijk niet-geauthenticeerd archief betrokken is.
Bij wijze van tijdelijke uitzondering geeft apt-get(8) (niet apt(8)!) enkel waarschuwingen als het niet-geauthenticeerde archieven tegenkomt om zo deze wijziging die de compatibiliteit aantast, enigszins langer uit te stellen. Deze uitzondering zal uit toekomstige uitgaven verwijderd worden en u kunt nu reeds kiezen om geen gebruik te maken van dit uitstel door de configuratie-optie Binary::apt-get::Acquire::AllowInsecureRepositories op false in te stellen of door aan de commandoregel de optie --no-allow-insecure-repositories te gebruiken.
U kunt alle APT-clients verplichten om enkel waarschuwingen te geven door de configuratie-optie Acquire::AllowInsecureRepositories op true in te stellen. U kunt ook individuele pakketbronnen toelaten om onveilig te zijn via de optie allow-insecure=yes in sources.list(5). Merk op dat onveilige pakketbronnen ten stelligste afgeraden worden en dat alle opties die apt verplichten om deze te blijven ondersteunen, uiteindelijk verwijderd zullen worden. Gebruikers beschikken ook over de optie Trusted, waardoor zelfs de waarschuwingen onderdrukt worden, maar u moet zeker zijn dat u de implicaties ervan begrijpt die uitgelegd worden in sources.list(5).
Een pakketbron die zijn eerdere authenticatie-status zou kwijt spelen zal in geval van een update-operatie bij alle APT-clients een foutmelding opleveren, ongeacht het feit of een optie het gebruik van onveilige pakketbronnen toestaat of verbiedt. Een dergelijke fout kan voorkomen worden door bijkomend de optie Acquire::AllowDowngradeToInsecureRepositories op true in te stellen of voor individuele pakketbronnen door de optie allow-downgrade-to-insecure=yes te gebruiken in sources.list(5).
Opmerking: Alle op APT gebaseerde front-ends voor pakketbeheer, zoals apt-get(8), aptitude(8) en synaptic(8), ondersteunen deze authenticatiefunctionaliteit. Het is enkel om het eenvoudig te houden dat deze man-pagina van APT gebruikt wordt om die functionaliteit aan ze allemaal toe te schrijven.

BETROUWBARE PAKKETARCHIEVEN

De vertrouwensketen vanaf een APT-archief tot de eindgebruiker, bestaat uit verschillende schakels. apt-secure is de laatste schakel in die keten. Een archief vertrouwen betekent niet dat u er op vertrouwt dat zijn pakketten geen kwaadwillige code bevatten, maar betekent wel dat u de beheerder van het archief vertrouwt. Het behoort tot de verantwoordelijkheid van de archiefbeheerder om er voor te zorgen dat de integriteit van het archief gevrijwaard blijft.
apt-secure controleert geen handtekeningen op pakketniveau. Indien u gereedschap nodig heeft om dit te doen, moet u uitkijken naar debsig-verify en debsign (die respectievelijk in de pakketten debsig-verify en devscripts te vinden zijn).
De vertrouwensketen in Debian begint (bijvoorbeeld) wanneer een pakketonderhouder een nieuw pakket of een nieuwe versie ervan naar het Debian archief uploadt. Om effectief te worden moet deze upload ondertekend worden met een sleutel uit de sleutelbos van de pakketonderhouders van Debian (te vinden in het pakket debian-keyring). De sleutels van onderhouders worden door andere onderhouders ondertekend. Daarbij worden vaststaande procedures gevolgd om de identiteit van de sleuteleigenaar te kunnen garanderen. Vergelijkbare procedures worden in alle op Debian gebaseerde distributies gehanteerd.
Nadat het geüpload pakket geverifieerd werd en toegevoegd aan het archief, wordt de handtekening van de onderhouder verwijderd en wordt de controlesom voor dat pakket berekend en in het bestand Packages opgeslagen. Daarna wordt voor alle Packages-bestanden de controlesom berekend en opgeslagen in het bestand Release. Daarna wordt het bestand Release ondertekend door de archiefsleutel voor deze Debian release en verdeeld met de pakketten en de Packages-bestanden naar de Debian-spiegelservers. De sleutels bevinden zich in de sleutelbos van het Debian-archief die te vinden is in het pakket debian-archive-keyring.
Eindgebruikers kunnen de ondertekening van het bestand Release controleren, er de controlesom voor een pakket uithalen en die vergelijken met de controlesom van het pakket dat ze handmatig gedownload hebben - of vertrouwen op APT die dit automatisch doet.
Merk op dat dit niet hetzelfde is als een controle van handtekeningen op het niveau van individuele pakketten. Deze werkwijze is ontworpen om twee mogelijke aanvallen te voorkomen:
 
•Netwerkaanval van het type "man-in-the-middle". Zonder de controle van de ondertekening kunnen kwaadwillige personen binnendringen in het proces van het downloaden van pakketten en kwaadaardige software verspreiden. Dit kunnen ze doen via het verwerven van controle over een element van het netwerk (router, switch, enz.) of via het omleiden van trafiek naar een kwaadaardige server (via ARP of aanvallen van DNS-spoofing).
 
•Gecompromitteerd spiegelservernetwerk. Zonder de controle van handtekeningen kan een kwaadwillige persoon een spiegelserver binnendringen en de bestanden die er zich op bevinden wijzigen, om op die manier kwaadaardige software te verspreiden naar alle gebruikers die pakketten van die server downloaden.
Ze biedt evenwel geen bescherming tegen een aanval gericht tegen de hoofdserver van Debian (die de pakketten ondertekent) of tegen een aanval gericht tegen de sleutel die gebruikt wordt om de Release-bestanden te ondertekenen. In elk geval biedt dit mechanisme wel een aanvulling op een ondertekening op pakketniveau.

CONFIGURATIE OP GEBRUIKERSNIVEAU

apt-key is het programma dat de sleutelcatalogus beheert die door APT gebruikt wordt om pakketbronnen te vertrouwen. Het kan gebruikt worden om sleutels toe te voegen en te verwijderen en de lijst met vertrouwde sleutels weer te geven. Het is mogelijk om te begrenzen welke sleutel(s) welk archief kunnen ondertekenen via de optie Signed-By in sources.list(5).
Merk op dat een standaardinstallatie reeds alle nodige sleutels bevat om op een veilige manier pakketten op te halen uit de standaard pakketbronnen. Met apt-key knoeien is dus enkel nodig als pakketbronnen van derden toegevoegd worden.
Om een nieuwe sleutel toe te voegen, moet u hem eerst downloaden (u moet zich ervan vergewissen dat u bij het ophalen ervan gebruik maakt van een betrouwbaar communicatiekanaal). Daarna voegt u hem toe met apt-key en vervolgens voert u de opdracht apt-get update uit, zodat apt het bestand InRelease of Release.gpg uit de door u geconfigureerde archieven kan ophalen en verifiëren.

CONFIGURATIE OP ARCHIEFNIVEAU

Indien u voor een door u onderhouden archief in een ondertekening van het archief wilt voorzien, moet u het volgende doen:
 
Maak een Release-bestand aan voor het hoofdniveau als dit nog niet bestaat. U kunt dit doen met de opdracht apt-ftparchive release (uit het pakket apt-utils).
 
Onderteken het. U doet dit door het uitvoeren van de commando's gpg --clearsign -o InRelease Release en gpg -abs -o Release.gpg Release.
 
Maak de vingerafdruk van de sleutel openbaar, zodat uw gebruikers weten welke sleutel ze moeten importeren om de bestanden uit het archief te authenticeren. U doet er best aan uw sleutel te verspreiden via een eigen sleutelbospakket, zoals Debian doet met debian-archive-keyring. Op die manier kunnen later updates en transities van sleutels automatisch gedistribueerd worden.
 
Geef de nodige instructies voor het toevoegen van uw archief en uw sleutel. Indien uw gebruikers niet op een veilige manier uw sleutel kunnen bekomen, wordt de hierboven beschreven vertrouwensketen verbroken. Hoe u gebruikers kunt helpen om uw sleutel toe te voegen, hangt af van uw archief en het doelpubliek. Dit kan gaan van het toevoegen van uw sleutelbospakket aan een ander archief dat de gebruikers reeds geconfigureerd hebben (zoals de standaard pakketbronnen van hun distributie) tot het gebruik maken van het web van vertrouwen.
Telkens de inhoud van het archief wijzigt (als nieuwe pakketten toegevoegd of verwijderd worden) moet de archiefverantwoordelijke de hierboven beschreven eerste twee stappen hernemen.

ZIE OOK

apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-ftparchive(1), debsign(1), debsig-verify(1), gpg(1)
Voor bijkomende achtergrondinformatie kunt u het hoofdstuk raadplegen over de beveiligingsinfrastructuur van Debian, Debian Security Infrastructure[1], uit de Securing Debian Manual (ook te vinden in het pakket harden-doc), alsook de Strong Distribution HOWTO[2] door V. Alex Brennen.

BUGS

APT bug page[3]. If you wish to report a bug in APT, please see /usr/share/doc/debian/bug-reporting.txt or the reportbug(1) command.

AUTHOR

APT was written by the APT team <apt@packages.debian.org>.

AUTEURS VAN DE MAN-PAGINA

Deze man-pagina is gebaseerd op het werk van Javier Fernández-Sanguino Peña, Isaac Jones, Colin Walters, Florian Weimer en Michael Vogt.

TRANSLATION

The english translation was done by John Doe <john@doe.org> in 2009, 2010 and Daniela Acme <daniela@acme.us> in 2010 together with the Debian Dummy l10n Team <debian-l10n-dummy@lists.debian.org>.
Note that this translated document may contain untranslated parts. This is done on purpose, to avoid losing content when the translation is lagging behind the original content.

AUTEURS

Jason Gunthorpe
APT team

OPMERKINGEN

1.
Debian Security Infrastructure
https://www.debian.org/doc/manuals/securing-debian-howto/ch7
2.
Strong Distribution HOWTO
http://www.cryptnet.net/fdp/crypto/strong_distro.html
3.
APT bug page
http://bugs.debian.org/src:apt
06 augustus 2016 APT 1.4.8