Portada
mis comunidades
otras secciones
#12:
Pues yo no estoy de acuerdo con las formas pero sí con el fondo.
Firmar los paquetes queda muy bonito de cara a la galería pero no ofrece más que una falsa sensación de seguridad.
La seguridad del software libre radica en el código fuente, nunca en un binario. A partir del momento en qué algún voluntario compila el código fuente y lo publica en un repositorio éste ya es de dudosa procedencia. Da igual si pertenece a Ubuntu o es uno de los desarrolladores de Debian, en ambos casos la duda sigue existiendo.
En este caso los desarrolladores de Arch Linux admiten abiertamente que confiar en los empaquetadores es un error de seguridad y no tienen interés alguno en añadir una capa de seguridad superficial que haga parecer que sí es seguro instalar esos paquetes.
Si quieres seguridad no te bases en Arch Linux ni en Ubuntu ni en Debian ni en Windows. Descarga el código fuente, revísalo, compílalo y usa ese sistema operativo compilado por ti.
Si eso te parece mucho trabajo no lo hagas, pero deberás confiar en alquien que lo haga por ti. Y ahí está el problema, deberás confiar en alguien que no conoces para que te ofrezca la seguridad que no estás dispuesto a conseguir por tus propios medios. Si para ti que ese desconocido firme el binario te parece una medida de seguridad aceptable ese es tu problema, literalmente.
Firmar los paquetes queda muy bonito de cara a la galería pero no ofrece más que una falsa sensación de seguridad.
La seguridad del software libre radica en el código fuente, nunca en un binario. A partir del momento en qué algún voluntario compila el código fuente y lo publica en un repositorio éste ya es de dudosa procedencia. Da igual si pertenece a Ubuntu o es uno de los desarrolladores de Debian, en ambos casos la duda sigue existiendo.
En este caso los desarrolladores de Arch Linux admiten abiertamente que confiar en los empaquetadores es un error de seguridad y no tienen interés alguno en añadir una capa de seguridad superficial que haga parecer que sí es seguro instalar esos paquetes.
Si quieres seguridad no te bases en Arch Linux ni en Ubuntu ni en Debian ni en Windows. Descarga el código fuente, revísalo, compílalo y usa ese sistema operativo compilado por ti.
Si eso te parece mucho trabajo no lo hagas, pero deberás confiar en alquien que lo haga por ti. Y ahí está el problema, deberás confiar en alguien que no conoces para que te ofrezca la seguridad que no estás dispuesto a conseguir por tus propios medios. Si para ti que ese desconocido firme el binario te parece una medida de seguridad aceptable ese es tu problema, literalmente.
#9:
¿Alguien dejaría a Pacman instalando los paquetes de Linux? ¿Que es lo próximo? ¿Dejar a Super Mario controlando los procesos?
#17:
#12 Igualmente necesitas un minimo de seguridad de que lo que te descargas no está modificado.
Gentoo lo compila del codigo fuente, pero comprueba igualmente que los paquetes coincidan con checksums y tamaño.
$ emerge -f pgadmin3
>>> Fetching (1 of 1) dev-db/pgadmin3-1.10.2
* pgadmin3-1.10.2.tar.gz RMD160 SHA1 SHA256 size ; -) ... [ ok ]
* checking ebuild checksums ; -) ... [ ok ]
* checking auxfile checksums ; -) ... [ ok ]
* checking miscfile checksums ; -) ... [ ok ]
Es mas fácil modificar el fichero si no tienes firma que si la tienes.
Gentoo lo compila del codigo fuente, pero comprueba igualmente que los paquetes coincidan con checksums y tamaño.
$ emerge -f pgadmin3
>>> Fetching (1 of 1) dev-db/pgadmin3-1.10.2
* pgadmin3-1.10.2.tar.gz RMD160 SHA1 SHA256 size ; -) ... [ ok ]
* checking ebuild checksums ; -) ... [ ok ]
* checking auxfile checksums ; -) ... [ ok ]
* checking miscfile checksums ; -) ... [ ok ]
Es mas fácil modificar el fichero si no tienes firma que si la tienes.
Comentarios
Pues yo no estoy de acuerdo con las formas pero sí con el fondo.
Firmar los paquetes queda muy bonito de cara a la galería pero no ofrece más que una falsa sensación de seguridad.
La seguridad del software libre radica en el código fuente, nunca en un binario. A partir del momento en qué algún voluntario compila el código fuente y lo publica en un repositorio éste ya es de dudosa procedencia. Da igual si pertenece a Ubuntu o es uno de los desarrolladores de Debian, en ambos casos la duda sigue existiendo.
En este caso los desarrolladores de Arch Linux admiten abiertamente que confiar en los empaquetadores es un error de seguridad y no tienen interés alguno en añadir una capa de seguridad superficial que haga parecer que sí es seguro instalar esos paquetes.
Si quieres seguridad no te bases en Arch Linux ni en Ubuntu ni en Debian ni en Windows. Descarga el código fuente, revísalo, compílalo y usa ese sistema operativo compilado por ti.
Si eso te parece mucho trabajo no lo hagas, pero deberás confiar en alquien que lo haga por ti. Y ahí está el problema, deberás confiar en alguien que no conoces para que te ofrezca la seguridad que no estás dispuesto a conseguir por tus propios medios. Si para ti que ese desconocido firme el binario te parece una medida de seguridad aceptable ese es tu problema, literalmente.
#12
De todos modos, prefiero que esten firmados, y confiar en la buena fe del empaquetador, que lo contrario y tener que confiar en el empaquetador, en el gestor del mirror, en que ningún cracker entre y lo cambie, etc...
#12 El problema que presenta es que es imposible que un programador pueda revisar por si solo todo el código fuente del kernel y las aplicaciones para estar seguro. Es una tarea sobrehumana en cualquier aspecto, y eso sin considerar otras cosas como el tiempo para llevarla a cabo, recursos adicionales, posibilidad de cometer errores, etc.
Por otro lado es cierto que los paquetes firmados y la buena fe del empaquetador no debieran bastar. Y por lo mismo debieran existir políticas claras para llevarlo a cabo, con auditorias y mecanismos de verificación. Y aunque lo anterior no es una garantía de ausencia de problemas, que no es posible, al menos si sirve para formalizar un mecanismo de seguridad que ya no es superficial.
Pero en cualquier caso, siempre hay que tener presente que la seguridad total no es posible, y que siempre se transará a ella respecto de otro factor (comodidad, tiempo, velocidad, dinero, etc).
#12 Igualmente necesitas un minimo de seguridad de que lo que te descargas no está modificado.
Gentoo lo compila del codigo fuente, pero comprueba igualmente que los paquetes coincidan con checksums y tamaño.
$ emerge -f pgadmin3
>>> Fetching (1 of 1) dev-db/pgadmin3-1.10.2
* pgadmin3-1.10.2.tar.gz RMD160 SHA1 SHA256 size ; -) ... [ ok ]
* checking ebuild checksums ; -) ... [ ok ]
* checking auxfile checksums ; -) ... [ ok ]
* checking miscfile checksums ; -) ... [ ok ]
Es mas fácil modificar el fichero si no tienes firma que si la tienes.
#12 Tu comentario viene a decir que, conque las cerraduras no son 100% seguras, si confías en ellas para proteger tu casa, es tu problema. Si realmente quieres seguridad, monta guardia en casa las 24 horas, armado hasta los dientes.
Claro que las firmas no son garantía absoluta de seguridad, pero es lo mínimo que se puede exigir; es de sentido común. Las cosas no son blanco o negro, hay que adoptar un compromiso de seguridad/coste. Igual que uso cerradura para mi casa (mas un seguro), porque montar guardia las 24 horas sería desproporcionado, es realmente razonable que los paquetes se firmen, ya que repasarme los millones de líneas de código del Kernel + Xorg + KDE + vete tú a saber es igualmente desproporcionado para mí, y para el 99.9% de los mortales.
#12 "confiar en los empaquetadores es un error de seguridad"
El problema es no poder dejar de confiar en ellos:
- ¿cómo excluyes a un empaquetador, si no hay firma que le identifique?
- ¿cómo sabes si un paquete lo ha empaquetado alguien en quien confías, o asaber quién?
Y si nos ponemos gallitos con la confianza... ¿confiar en los desarrolladores es mucho mejor? ¿o me tengo que leer (y entender) todo el código del kernel antes de instalarlo?
#12 Mi S.O. es Windows 7.
Utilizo un antivirus gratuito.
Dejo que el firewall de Windows haga el trabajo.
Tengo las actualizaciones de Windows puestas en modo manual.
Instalo programas empaquetados en .msi ...
Sí. Me gusta vivir al límite. Born to be wild baby.
#29 Huy, supongo que te habrás roto una pierna, habrán matado a tu gato, te habrás chocado con el coche... ¡Suicida! ¡Temerario!
Arch es un entorno de experimentación, como bien pone en la web del proyecto, ponerlo en tu PC de escritorio, tu portátil o el PC del trabajo como S.O. del día a día es un suicidio y una demostración de que no sabes para que sirven los distintos S.O.
#12 Un sistemas de firmas bien hecho es infalible, por ejemplo: RedHat, mientras te mantengas en sus repos del RHN puedes estar seguro de que aquello no petara ni tiene malware.
#32 Yo Arch , lo uso dia y a dia y me sirve de puta madre. No tienes ni idea de la filosofia de Arch . De hecho, tienen sus propios repositorios [testing] y [community-testing] para quien quiera experimentar DE VERDAD .
A TODOS : https://wiki.archlinux.org/index.php/The_Arch_Way_v2.0
#33 pues yo llevo unos años de admin de sistemas(Linux principalmente) y aun no he conocido a nadie que use Arch. Una vez uno de los programadores me convenció para en un server de demo pusiera un Arch diciendo que eso era la leche. La cosa peto a los 2 meses por varios lados y ahora con una configuración LAMP bastante similar en un Debian5 ya va para mas de 2 años corriendo sin problemas.
#34 pues yo llevo otros cuantos años en el sector y uso Arch en todos mis ordenadores, tanto personales como los de la oficina. Nunca me ha petado, nunca he tenido que reinstalar. No puedo decir lo mismo ni de Ubuntu ni de Debian. Que digas que Arch es un entorno de experimentación demuestra, tal y como dice #32, que no conoces la distribución.
#34 No quiero ni imaginarme la hartada de configurar a mano arch para que dé el mismo servicio que Debian y encima fallando como una escopeta de caña.
#40 En lo que tarda APT en instalar y configurar los paquetes haces un pacman -Syy apache php php-apache mysql y te lees esto .
https://wiki.archlinux.org/index.php/LAMP
#41 Eso sí, no creo que haya sistema más rápido instalando paquetes, pero el rollo de configuración de casi todo manualmente a cambio de lo que obtienes no me vale la pena, para eso me pongo gentoo. Creo que Debian proporciona un sistema intermedio entre configuración manual y automatismo que a mi gusto la hace más viable.
#13 #34 Pues yo la tengo en el sobremesa y portátil desde 2004 y como la seda, y en el curro tenemos un cluster GlusterFS en producción con Arch, y mientras tengas un servidor de pruebas y no vayas dejando .pacnew/.pacsave sin revisar por /etc, es sólido como una roca.
Eso sí, si quiero instalar algo y no volver a mirarlo en años dejaría una Debian stable, y si queremos un espacio multiusuario seguro, con MAC, etc... y sin pasar por el trauma de SELinux, ahí estará siempre TrustedBSD/Solaris.
#33
arch es como un versión "light" de slackware, para nenazas que no se atreven a compilar sus propios paquetes.
(nooo, en la cabeza no, que estoy estudiando)
#42, creo que te refieres a Gentoo, no a Slackware. Slackware se basa en paquetes precompilados, a diferencia de Gentoo. Lo que hace que Arch sea "para nenazas" respecto a Slackware es que los machos machos de verdad prefieren manejar dependencias a mano (Slackware) y no que se lo haga un gestor de paquetes automáticamente (Arch) :^)
#33 Hombre, se puede enlazar a la versión española
https://wiki.archlinux.org/index.php/The_Arch_Way_v2.0_%28Espa%C3%B1ol%29
#12 tú, ¿estás de coña, verdad? ¿Has leído y comprendido todo el código del kernel? Aún así, ¿has escrito tu propio compilador a base de bits, no sea que te la hayan metido en el compilador (como ya lo hicieron como proof of concept)?
Pero vayamos más allá. Que te fastidien el ordenador es una putada, pero, ¿un accidente de tráfico? ¿Te has montado tú tu propio coche? Y, ¿qué me dices de un envenenamiento en la comida? No vayas a Mercadona, pero tampoco cojas tú el trigo del campo, ¿quién dice que no lo han envenenado por la noche?
Anda que no sois frikis ni nada con el software...
#12, si un paquete firmado contiene malware, por definición se puede trazar la fuente: el autor que firma. Como mínimo, dicho autor sería señalado con el dedo y apartado del grupo de desarrolladores. Si yo fuera un autor de software malicioso con interés en infectar Arch Linux, me daría mucha tranquilidad el prescindir de firmas, de manera que si me pillan, siempre puedo decir que fue otro el que lo modificó sin mi conocimiento. El día que implementasen las firmas digitales, empezaría a preocuparme, porque ya no podría meter malware impunemente. El temor a ser identificado me desincentivaría terriblemente para meter malware.
#12 Me temo que estás confundiendo el objetivo de la firma obligatoria de paquetes.
No se trata de confiar o no en los empaquetadores (algo que tendremos que hacer siempre) sino de dificultar lo máximo posible la modificación de paquetes en un mirror que se haya visto comprometido o que no sea de confianza; es decir, si hoy mismo alguien consigue acceder (AKA hackear (ouch)) a uno de los mirrors principales de Debian, para poder modificar uno de los paquetes antes tendrá que hacerse con la clave GPG del empaquetador (normalmente el desarrollador), lo que le va a poner las cosas más difíciles.
Y eso sería para un paquete, sólo para uno, si quiere modificar muchos (o todos) los paquetes del mirror sencillamente, o rompe el algoritmo de firma (échale huevos) o es totalmente imposible dado que necesitaría TODAS las claves GPG utilizadas para firmar los paquetes del repositorio.
Como digo, no se trata de hacerlo infalible sino de hacerlo lo más seguro posible; claro, si empezamos con la mentalidad de "como no existe la seguridad al 100% paso de todo" se lo estás poniendo muy fácil a los atacantes; ¡coño, pónselo difícil!
Versión sencilla: tú no has revisado los pilares del edificio donde vives, ni te has asegurado personalmente de que la carga esté bien repartida, pero quieres que un arquitecto haya revisado y firmado los planos, no? Pues esto es extrapolable al software.
¿Alguien dejaría a Pacman instalando los paquetes de Linux? ¿Que es lo próximo? ¿Dejar a Super Mario controlando los procesos?
#9: es experto en tuberías, así que no veo por qué no.
#9 En su día ya matábamos los procesos con Doom http://www.cs.unm.edu/~dlchao/flake/doom/ así que igual se podía hacer lo mismo saltándoles en la cabeza.
Yo la usé en su día, Pero al final siempre se acaba en alguna basada en Debian
(Linux Mint).
Vivan los .deb!
#6 #13 ya sé que me vais a llamar troll, pero... zypper es mejor que apt/aptitude. Quizá sea más lento, pero intenta en Debian/Ubuntu quitar un repositorio y desactualizar a tus repositorios actuales (dicen que el primo del novio de la cuñada de no sé quién lo consiguió una vez )
Me instalé esto:
http://igurublog.wordpress.com/downloads/script-paccheck/
Chequea los paquetes comparando los MD5
Dan ganas de cambiar de distro, yo la uso todos los días.
#1 Yo la cambiaría sin titubear. No tenes un mínimo de seguridad que los paquetes estén bien. Sinceramente desconocía que no tenia los paquetes firmados, nunca use ese gestor de paquetes y ni lo pienso usar. Larga vida a apt
Yo me instalé Arch Linux y fallaba como una escopeta de feria. Por lo que volví a Debian.
Y es cierto lo que dicen más arriba, ninguna paquetería supera a .deb. Y aptitude es el mejor gestor de la misma con diferencia.
#13 Te fuiste de la sarten para caer en las brasas. Yo ArchLinux lo tuve mucho tiempo funcionando bien con algunos problemas menores y otros no tanto. Debian sigue sin funcionar bien con la squeeze estable (no poderse conectar a redes WiFi protegidas con WPA durante la instalación es NO funcionar bien, le pese a quien le pese). Fue muy gracioso y paradójico estar conectado a la red WPA con el NetworkManager desde el live CD y a la vez no poder utilizar esa red dentro del instalador.
En cualquier caso, estoy con #4, si quieres control vete a Gentoo.
#21 no trollees por favor. Que no haya soporte wpa en una instalación por netinstall, no significa que eso no sea funcionar bien; aparte que yo sepa no existe live-cd de debian oficial , ¿No estarás hablando de una ubuntu?.
#23 Desde Squeeze si que existe live-cd oficial de Debian. Si no tienes ni idea de lo que hablas no me acuses de troll. Aquí lo tienes por si te quedaban dudas: http://www.debian.org/CD/live/
Ahora bajate uno, conectate a una red WiFi con WPA desde el NetworkManager del escritorio, haz doble click en el ejecutable que te guia por la instalación, y disfruta viendo como tienes internet en el escritorio y no lo tienes en la instalación.
A aso en mi pueblo se le llama hacer las cosas con el culo.
Yo creo que esto vendría de largo, de que no se entiende que escribir o mantener un programa no se hace en el "tiempo libre" si no que necesita una dedicación de varias horas diarias y renunciar a hacer otras cosas, esto no és como irse a escalar un domingo. La gente de Arch Linux está por ejemplo haciendo un gran trabajo con el núcleo Hurd y eso aquí no se dice, cuando se hacen las cosas bien lo que obtienes es silencio, pero cuando se hacen mal siempre hay quien está dispuesto a aparecer de la nada para hacer daño, reafirmarse e irse como ha venido, por puro placer. Eso quema y al final es normal que pasen estas cosas, que por un lado esta claro que es lamentable pero por otro lado es el dia a dia de cualquier trabajo en el que te impliques, ya sea voluntario o remunerado. Lo peor es que lo que "está mal hecho" es totalmente subjetivo. Además, que no creo que delante de una sugerencia los desarrolladores hayan saltado así de esa manera mágicamente, habrá algo más seguro. Ahora poneros en esta situación: tu cuando llegas del curro remunerado, te sientes en tu ordenador y sigues currando pero esta vez gratis, los méritos no te los reconoce nadie pero las hostias te las llevas todas, y un día, en una discusión que has dicho algo inadecuado, tus palabras aparecen reproducidas sin su contexto en mogollón de blogs y agregadores demostrando lo cabrón que eres... ¿qué haces? pues eso. Que trabaje otro.
#52 Sí, pero eso sólo es el primer paso; tras eso se habla de crear un sistema de paquetes común para todas las distros (o por lo menos, todas las que se apunten).
Muy buena apreciación #51
El problema de fondo es la falta de estandarización y por tanto la disgregación que existe de distribuciones en el mundo linux. Está muy guay esto de tener diferentes posibilidades de elegir, pero los productos estándar facilitan las economías de escala y hacen que el trabajo de la gente que se deja su tiempo pueda ser más específico.
Ahora mismo hay mucha gente en el mundillo haciendo lo mismo para Ubuntu, otros para Debian, otros en Gentoo y otros en Red Hat etc, todo esto es una pérdida de tiempo. las desventajas de que el SO sea menos específico para algunos es mejorar su calidad final para todos
#24 Se han dado ya pasos para cambiar eso:
AppStream, un principio de unificación en Linux [CAT]
AppStream, un principio de unificación en Linux [C...
gnulinux.cat#30
"The AppStream interface will just be a front-end to PackageKit so that each distribution can then continue rely upon their existing package management systems, but the complexities are hidden from the user"
Osea.. eso es sólo una aplicación fachada que algunas distros tienen pensado usar en común, pero los formatos de los paquetes seguirán siendo incompatibles entre sí...
Lo interesante sería justo lo contrario, que hubiese distintas aplicaciones de instalación pero que el formato que todas usasen fuese un estándar. Sino no estamos cambiando nada, va a seguir necesitando sus repositorios independientes cada una, y va a seguir haciendo falta multiplicar el esfuerzo de empaquetar tu software en 4 o 5 tipos distintos de paquetes.
https://wiki.archlinux.org/index.php/Pacman_Roadmap
Gentoo
A mí me parece que no vale la pena usarla, si quieres control usa gentoo, me gusta más Debian que arch.
Pero como se puede ser tan chapuceros
Pues nada, por lo visto simplemente faltan voluntarios para llevar a cabo tal tarea. Que se ofrezcan o que hagan donaciones para que alguien se ocupe si realmente les interesa. No lo veo tan descabellado, simplemente son puntos de vista, y si los actuales desarrolladores voluntarios tienen otras prioridades pues que así sea, pues según dice esta distribución está hecha por y para los desarrolladores. ¿O me olvido de algo?
#5 Yo no soy desarrollador y la uso. (Y los que me la mostraron tampoco lo son).
No os creáis que firmar obligatoriamente los paquetes es la panacea, de hecho sigue siendo vulnerable. Instalar software siempre es peligroso, con aplicarse un poco, estar informado y tener cuidado es suficiente.
Dicho esto, es cierto que la actitud del desarrollador no es la correcta, y que yo tampoco veo Arch Linux óptimo para el uso profesional.
Yo llevo algunos meses usando Arch Linux en mis equipos (tanto personales como en el portátil del trabajo) y estoy bastante contento, pero a veces estar siempre en las últimas versiones me trae problemas a la hora de desarrollar ya que hay ciertas cosas que pierden compatibilidad hacia atrás.
Por ejemplo ahora mismo estoy teniendo problemas porque uno de nuestros proyectos no funciona bien con MySQL 5.5
De todas formas, me parece una grandísima distribución, aunque si que es cierto que los paquetes deberían ir firmados.
Me voy a programar malware para Arch pitando antes de que alguien se me adelant... oh wait!
Vamos a ver, cada distro para lo que es. No esperes instalar Debian y tener los últimos paquetes. Tener todo a la última tiene precio en cosas como esta. Cada uno que elija lo que más le guste. A los que no, que hagan un fork y punto.
Ahora, que más peligroso que el que Pacman instale un paquete con malware, me preocupa más que alguien pueda modificar el contenido de los servidores oficiales sin más.
Además, colarte malware, le puede pasar a cualquiera. No recuerdo a qué programa fue que colaron durante meses en el binario código malware.
La verdad es que lo entiendo, a mi tampoco me parece algo tan prioritario. Y también entiendo que lo que implica quejarse por algo que no cuesta nada.
Solo por esas cosas esa Distro ya no vale la pena.
Teneis cada lio, yo uso windows7 y con eso no tengo problemas de repositorios etc, ya que lo actualizo todo desde windows update, todo el trabajo me lo hace microsoft
#19 (se que es sarcasmo pero,tengo la necesidad de decirlo
)...sii entonces supongo que todos tus programas se actualizaran por el windows update no?...
#20 Juer que me que ponen negativos, yo solo queria seguir con lo de siempre que cuando se habla de linux hay alguien que suelta algo del windows y cuando se habla de windows sale alguien con linux, como no vi ningún comentario el el hilo del windows, pues solté lo que solté, una chorrada pero era para seguir la tradición