Hallo Opsi Team,
Eine meiner Meinung nach gute Erweiterung ist wenn man die generierten opsi Pakete signieren könnte.
diese informationen könnte man dann bei der Installation überprüfen und falls das passende root certifikat nicht auf dem client nicht installiert wurde zu einer Fehlermeldung führen.
das würde es ermöglichen community repositories für packete auf ihre vertrauenswürdigkeit zu überprüfen.
aber dafür fehlt ja noch die repository unterstützung soweit ich sehe
mfg
Mario
Signing Packages
Signing Packages
It is impossible to make anything foolproof because fools are so ingenious. (source unknown)
My Opsi Repository http://opsi.disconnected-by-peer.at
The sources http://git.disconnected-by-peer.at (patches welcome)
My Opsi Repository http://opsi.disconnected-by-peer.at
The sources http://git.disconnected-by-peer.at (patches welcome)
Re: Signing Packages
Hi,
da muss man jetzt zwei Dinge unterscheiden:
- die Installation von Paketen aus einem Repository (wie z.B. uib.de) auf einem Server
- die Installation von Software aus einem opsi-depot auf einen Client
Für den zweiten Punkt gibt es jetzt durchaus schon Lösungen, welche aber nicht die Pakete sondern die Authentifizierung von Server beim Client betreffen.
siehe:
Kapitel 9.6 Authentifizierung des Servers beim Client
http://download.uib.de/opsi4.0/testing/ ... ual-de.pdf
Für den ersten Schritt würde ein signieren der Pakete sinnvoll sein.
Mir sind nur im Moment die Einsatzszenarien jenseits der Abo's von uib nicht klar.
Vielleicht kannst Du da Deine Ideen noch etwas ausführen.
gruss
d.oertel
da muss man jetzt zwei Dinge unterscheiden:
- die Installation von Paketen aus einem Repository (wie z.B. uib.de) auf einem Server
- die Installation von Software aus einem opsi-depot auf einen Client
Für den zweiten Punkt gibt es jetzt durchaus schon Lösungen, welche aber nicht die Pakete sondern die Authentifizierung von Server beim Client betreffen.
siehe:
Kapitel 9.6 Authentifizierung des Servers beim Client
http://download.uib.de/opsi4.0/testing/ ... ual-de.pdf
Für den ersten Schritt würde ein signieren der Pakete sinnvoll sein.
Mir sind nur im Moment die Einsatzszenarien jenseits der Abo's von uib nicht klar.
Vielleicht kannst Du da Deine Ideen noch etwas ausführen.
gruss
d.oertel
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: Signing Packages
Ich hab ja jetzt einen öffentliches repo für meine Pakete gemacht (sind noch nicht getestet arbeite mich gerade durchs Paket bauen http://git.disconnected-by-peer.at sind die git repos für die Pakete).
http://opsi.disconnected-by-peer.at
gehen wir mal davon aus das es einem Hacker gelungen ist in meinen Server zu kommen und dann sieht er dort die opsi Paktete die sich anbieten einen Trojaner oder so einzuschleusen.
und da dieses repo öffentlich ist kriegen alle die es benutzen den Trojaner ab.
wenn die Pakete signiert (gpg key) sind kann festgestellt werden das das Paket nicht verändert wurde (mal davon abgesehen wenn der Paketbauer den Trojaner einschleusen will)
MfG
Mario
http://opsi.disconnected-by-peer.at
gehen wir mal davon aus das es einem Hacker gelungen ist in meinen Server zu kommen und dann sieht er dort die opsi Paktete die sich anbieten einen Trojaner oder so einzuschleusen.
und da dieses repo öffentlich ist kriegen alle die es benutzen den Trojaner ab.
wenn die Pakete signiert (gpg key) sind kann festgestellt werden das das Paket nicht verändert wurde (mal davon abgesehen wenn der Paketbauer den Trojaner einschleusen will)
MfG
Mario
It is impossible to make anything foolproof because fools are so ingenious. (source unknown)
My Opsi Repository http://opsi.disconnected-by-peer.at
The sources http://git.disconnected-by-peer.at (patches welcome)
My Opsi Repository http://opsi.disconnected-by-peer.at
The sources http://git.disconnected-by-peer.at (patches welcome)