forum.opsi.org

Hallo Opsi Team,

Eine meiner Meinung nach gute Erweiterung ist wenn man die generierten opsi Pakete signieren könnte.

diese informationen könnte man dann bei der Installation überprüfen und falls das passende root certifikat nicht auf dem client nicht installiert wurde zu einer Fehlermeldung führen.

das würde es ermöglichen community repositories für packete auf ihre vertrauenswürdigkeit zu überprüfen.
aber dafür fehlt ja noch die repository unterstützung soweit ich sehe

mfg
Mario

Hi,

da muss man jetzt zwei Dinge unterscheiden:
- die Installation von Paketen aus einem Repository (wie z.B. uib.de) auf einem Server
- die Installation von Software aus einem opsi-depot auf einen Client

Für den zweiten Punkt gibt es jetzt durchaus schon Lösungen, welche aber nicht die Pakete sondern die Authentifizierung von Server beim Client betreffen.
siehe:
Kapitel 9.6 Authentifizierung des Servers beim Client
http://download.uib.de/opsi4.0/testing/ ... ual-de.pdf

Für den ersten Schritt würde ein signieren der Pakete sinnvoll sein.
Mir sind nur im Moment die Einsatzszenarien jenseits der Abo's von uib nicht klar.
Vielleicht kannst Du da Deine Ideen noch etwas ausführen.

gruss
d.oertel

Ich hab ja jetzt einen öffentliches repo für meine Pakete gemacht (sind noch nicht getestet arbeite mich gerade durchs Paket bauen http://git.disconnected-by-peer.at sind die git repos für die Pakete).
http://opsi.disconnected-by-peer.at

gehen wir mal davon aus das es einem Hacker gelungen ist in meinen Server zu kommen und dann sieht er dort die opsi Paktete die sich anbieten einen Trojaner oder so einzuschleusen.
und da dieses repo öffentlich ist kriegen alle die es benutzen den Trojaner ab.
wenn die Pakete signiert (gpg key) sind kann festgestellt werden das das Paket nicht verändert wurde (mal davon abgesehen wenn der Paketbauer den Trojaner einschleusen will)

MfG
Mario