staging.inyokaproject.org

Wie steht es denn da mit der Sicherheit? Besteht nicht die Gefahr, dass Pakete manipuliert werden können?

@1 Ich denke nicht, schließlich sind die Pakete alle signiert, was von apt überprüft wird (davon gehe ich mal aus). Von daher dürfte es da keine Probleme geben.

Hallo! Die Idee von apt-p2p finde ich schon seit längerem sehr gut und habe mich gefragt warum man das nicht so macht.

Was ich mich frage ist, wie sich die ganze Geschichte im Netzwerk verhält. Also wenn ich z.B. 3 Ubuntus im Netzwerk habe merkt apt-p2p, dass die Pakete über Netzwerk schneller verfügbar wären?

@3: Ich glaube, Du meinst apt-cacher, oder?

Liebe Grüße,

FLO

@4: Ja mit apt-cacher ist das möglich. Aber ich wollte wissen wie sich apt-p2p verhalten würde. Also ob bemerkt wird das sich ein Peer im lokalen Netzwerk befindet der die Pakete extrem schnell zur Verfügung stellt.

Sehr interessanter Ansatz. Ich frage mich aber auch, ob dadurch nicht vielleicht auch manipulierte Pakete in Umlauf geraten könnten. Aber wenn eine Signatur vorhanden ist, sollte das ja eigentlich kein Problem sein...

so lange die Signatur auf einem kontrollierten Rechner liegt und kein Weg gefunden wird, die Signaturabfrage zu umgehen oder auszutricksen, sollte es sicher sein. Betonung liegt auf "sollte".

Wenn man es schafft, die Abfrage der Signatur z.B. auf einen anderen Server zu leiten oder irgendwie anders eine korrekte Signatur vorgaukeln kann, ist das System verwundbar

@5: Würde mich auch interessieren. Hab mal apt-proxy ausprobiert, hat aber nicht wirklich funktioniert

Irgendwas stimmt da nicht. Im Artikel heißt es

Im Gegensatz zu debtorrent 🇬🇧 setzt es dabei jedoch nicht auf die BitTorrent-Technologie, sondern verwendet DHT zur Verteilung der Dateien.

Im Wiki heißt es aber

Anstelle die bei der Installation oder Aktualisierung von Programmen benötigten Dateien von einem Server zu beziehen, werden sie über das Bittorent-Protokoll von anderen Benutzern heruntergeladen und danach von einem selbst weiter verteilt.

@9: jo, das is mir auch schon aufgefallen und hab auch gerade nochmal im forum nachgefragt.

Wäre es nicht möglich, eine neue Version von einem Paket zu erstellen, welches (ich sag das einfach mal so) zum Beispiel einen Virus o. ä. enthält. Damit könnte man doch das System ganz leicht umgehen? Sicherheitstechnisch gesehen? Oder gibt es dafür Kontollmechanismen?

Wenn das nicht ohne weiteres möglich sein sollte, dann bin ich ab Lucid Lynx auf jeden Fall dabei beim Pakete verteilen. Ansonsten....

mfg Floh

Die Idee dahinter find ich super, ist mir aber viel zu riskant, eben aus den oben genannten Gründen...

lg, losingYou

@12: Dafür sind ja die Signaturen da. Für die offiziellen Quellen haben die Ubuntu Systeme ja bereits alle Schlüssel vorinstalliert, und zusätzlich gibt es noch den Checksum Test: Wenn die Prüfsumme des Pakets nicht mit der aus der Paketliste zusammenpasst weil es zB verändert wurde, wird das Paket ignoriert und man bekommt eine Fehlermeldung.

@12: Wurde schon oben bemerkt, die Pakete sind mit GPG (GNU Privacy Guard) signiert, um vor Manipulation geschützt zu werden. Wenn ein Paket von jmd. Anderem als den offiziellen Ubuntu-Entwicklernsigniert wird, nutzt der natürlich einen anderen Schlüssel. Solange wie sich dieser Schlüssel nicht in dein APT eingetragen hat wird eine Meldung nach dem Motto: "Ungültige/Unbekannte Signatur" erscheinen.

@8: Bei mir hat APT-PROXY auch nicht funktioniert, probier mal apt-cacher/apt-cacher-ng (Wiki-Artikel von mir erstellt)!

@9,@10,@11: DHT ist so wie ich es verstanden habe der "Tracker" (Clientseitig), also das Programm was feststellt welche Dateien verfügbar sind, debtorrent benutzt wohl einen richtigen Tracker auf einem Server. Wenn dieser Tracker auf einem offiziellem Server läuft (so wie open-suse/Novell) sollte keine Gefahr bestehen.

Wenn DHT nur wenige Nutzer kennt, die Alle ein manipuliertes Paket besitzen kann das Prinzip von CRC-Checksummen nicht greifen, also wird es nicht als defekt/manipuliert erkannt.

Klingt sinnvoll. Schade, dass es hinter einem Proxy nicht funktioniert.

Ab welcher Upload-Kapazität macht es Sinn das Programm zu installieren und sich am Verteilen zu beteiligen?

kann ich das nur nutzen, wenn ich auch die pakete verteilen will? ich hab nicht genug plattenplatz um auch zu verteilen, würde aber zumindest zum loaden das nutzen..

manipulation von apt-p2p ist genauso möglich/unmöglich wie des normalen apt-get systems mit normalen servern

Wieso ist es nicht Standard?

Zuerst prüft es,ob die Kommunikation mit dem P2P-Netz funktioniert und dann startet es den Update Vorgang und stellt dabei auch Bandbreite in Form von Datenupload bereit.Sollte die Kommunikation nicht funktionieren(falsche Router Konfiguration etc),dann greif es auf das normale atp zurück.

Man könnte dann noch ein zusätzliches Menü einbauen,in dem man wählen kann,ob man nicht seeden will (in dem Fall natürlich Standard) oder wenn ja,dann wie viel.

@12: wer sollte sich "deine" neue Version des manipulierten Paketes laden wollen? Wenn ich bei mir "apt-get install foo" aufrufe, dann schaut doch apt-get nicht im ganzen internet rum ob es eine neuere Version von foo gibt, sondern in den Paketlisten. Wenn du mit deiner neueren Paketversion also einen Virus einschleusen willst musst du auch noch die Paketlisten manipulieren... Ich sag nicht, dass das unmöglich ist, aber das hätte dann nix mit apt-p2p zu tun.

genial =)

ich find es ist ein egute Sache und werde mich beteiligen.. gibt es eine Möglichkeit apt-p2p auf mehreren Rechnern im lokalen Netzwerk zu betreiben? Hab hier nen karmic Server, hardy Notebook und nen Ludic Desktop.. bei meinem ersten kleinen Versuch funktionierte es nicht sobald man einen anderen Port wählt (wurde auch in der sources.list geändert!)

Die Idee ist toll und die Installation scheint einfacher geworden sein bzw. die Wiki-Anleitung ist besser geworden.

Laut Wiki soll man die security -sachen nicht damit runterladen. Die Warnung ist doch quatsch, wenn die Sache doch sicher sein soll???

@24: Soweit ich weiß ändert Synaptic den Link für die Security-Server auch nicht, wenn man einen Spiegelserver auswählt – korrigiert mich falls doch. Deshalb hatte ich den entsprechenden Hinweis eingefügt.

@25: Das liegt daran, dass die Sicherheitsupdates möglichst aktuell sein sollen, und die Spiegelserver hinken halt immer etwa hinterher.

Toll, toll, toll ☺

Werde ich gleich mal mitmachen.

Gebt nochmal ein Update raus, sobald das Programm Fehlerfrei ist. Dann bin ich sofort dabei!

Läd man da dann immer nur von einem Client runter? Da müsste man dann aber nen ganz schönen Upstream haben, um den Downloader nicht unnötig zu quälen. Oder ist es wie beim Torrent, dass man mehrere Quellen gleichzeitig ansaugt?

Wenn Letzteres frag ich mich schon, wie man da was manipulieren und das Paket dann beim Abnehmer überhaupt noch funktionieren soll, es sei denn, man ist der einzige Uploader. Aber in dem Fall wäre es ja noch leichter, die Installations-CD zu manipulieren, wenn die Pakete auf Echtheit verifiziert werden.

Oder etwa nicht?

Ich frage mich wiso apt-p2p nicht ein teil der Standard Installation ist.

@30: Möglicherweise weil es noch nicht richtig läuft ❓

@30: ALso ich fand das ganze nicht praxistauglich, da extrem lahm. Auf den offiziellen Servern brauch ich nicht mal 10 % der Zeit für mein Update. Schade eigendlich.

@32: Wenn nur zwei drei Leute es einsetzten ist es natürlich langsam. Je mehr es einfach einsetzten, oft installiert man Programme bei denen es nicht darauf ankommt ob es jetzt zwei oder 10 Minuten dauert. Und bei Updates ist ja selten absolute Geschwindigkeit notwendig.

Wie bereits geschrieben, läuft das System umso besser, je mehr Leute es verwenden. Darum der Aufruf an experimentierfreudige Benutzer, apt-p2p eine Chance zu geben, die Server zu entlasten und den Ubuntu-Gedanken ein Stück weit mehr zu leben.

Wie kann man das ganze denn verwalten?

Gibts da ne grafische Oberfläche für oder ne manpage?

@34: Grafische Oberfläche zur zum einstellen der Upload Geschwindigkeit, oder mit entsprechenden Zeiten in denen das Programm laufen soll wäre nicht schlecht. Ansonsten finde ich den Ansatz echt super und ist auch schon bei mir am laufen.

Ich habe in meinen Netzwerk (Heimnetz und Freifunk) einen transparenten Squid vorgeschaltet der alle anfragen von mir bekannte Ubuntuquellen an apt-cacher-ng weiterleitet. Gibt es eine Möglichkeit da apt-p2p einzubauen ohne an den Rechnern selber was zu ändern?

Ich habe gestern auf Ubuntu Brainstorm eine Idee zur Förderung der Nutzung von apt-p2p gepostet. Würde mich freuen wenn Ihr das Anliegen unterstützt!