#use wml::debian::template title="Debianin Usein Kysytyt Kysymykset tietoturvasta" #use wml::debian::translation-check translation="5bfeb5677d7c5785441fadaddd2ad122b48007ae" #include "$(ENGLISHDIR)/security/faq.inc"
Saamme seuraavia kysymyksiä turhan usein näinä päivinä, joten olemme tehneet näistä kysymyksistä vastauksineen yhteenvedon tähän.
V: Tämä ongelma sijaitsee mitä todennäköisimmin siellä päässä. \ debian-security-announce-listalla on suodatin, joka päästää läpi ainoastaan viestit, joissa on väärentämätön allekirjoitus joltakin tietoturvaryhmän jäseneltä.
Luultavasti jokin postiohjelmistosi osa muuttaa hiukan viestejä ja rikkoo allekirjoituksen. Varmista että ohjelmistosi ei tee mitään MIME-koodausta tai -purkamista taikka tab/välilyönti-muunnoksia.
Tunnettuja syyllisiä ovat fetchmail (jos mimedecode-asetus on päällä), formail (ainoastaan procmail:in versiossa 3.14) ja evolution.
V: Kun tietoturvaryhmä saa huomautuksen tapauksesta, yksi tai useampi ryhmän jäsen tarkistaa sen ja tarkistaa onko Debianin vakaa julkaisu alttiina uhalle vaiko ei. Jos järjestelmä on alttiina, teemme korjauksen ongelmaan. Paketin ylläpitäjään otetaan myös yhteyttä jos hän ei vielä ole ottanut ryhmään yhteyttä. Lopulta korjaus testataan ja uudet paketit valmistellaan, jotka myöhemmin käännetään kaikille vakaan julkaisun arkkitehtuureille ja lähetetään palvelimille. Kun nämä on tehty, julkaistaan tiedote.
V: Tärkein periaate tietoturvaongelman korjaavan paketin tekemisessä on tehdä niin vähän muutoksia kuin mahdollista. Käyttäjämme ja kehittäjämme luottavat järjestelmän täsmälliseen toimintaan julkaisun jälkeen, joten mikä tahansa muutos saattaa rikkoa jonkun järjestelmän. Tämä on erittäin tärkeää kirjastojen tapauksessa: varmista, että et koskaan muuta APIa tai ABIa, huolimatta siitä kuinka pieni muutos olisi.
Tämä tarkoittaa, että uuteen versioon siirtyminen ei ole hyvä ratkaisu, sen sijaan tärkeät muutokset tulee siirtää. Yleensä ohjelman tekijät osaavat auttaa tarvittaessa, jos ei, niin Debianin tietoturvaryhmä saattaa kyetä auttamaan.
Joissain tapauksissa ei ole mahdollista siirtää tietoturvakorjausta, jos esimerkiksi suurta määrää lähdekoodia täytyisi muokata tai uudelleenkirjoittaa. Jos näin tapahtuu, saattaa olla pakko siirtyä uuteen versioon, mutta tästä täytyy sopia tietoturvaryhmän kanssa etukäteen.
V: Tietoturvareikä vakaassa jakelussa takaa paketin pääsyn security.debian.orgiin. Mikään muu syy ei kelpaa. Reiän koko ei ole todellinen ongelma tässä. Yleensä tietoturvaryhmä valmistelee paketit yhdessä paketin ylläpitäjän kanssa. Jos joku (luotettu) henkilö seuraa ongelmaa ja saa kaikki tarvittavat paketit käännettyä ja lähettää nämä paketit tietoturvaryhmälle, jopa hyvin yksinkertaiset tietoturvaongelmien korjaukset pääsevät security.debian.org-palvelimelle. Katso lisää alempaa!
Tietoturvapäivitykset palvelevat yhtä tarkoitusta: tietoturva-aukon
korjaamista. Ne eivät ole menetelmä ylimääräisten muutosten ujuttamiseen
vakaaseen jakeluun ilman puolijulkaisun normaaleja tarkistuksia.
paikallinen (etä)?
V: Osa tiedotteista käsittelee alttiuksia, joita ei voida tunnistaa
klassisella jaottelulla paikallisiin ja etähyökkäyksiin. Joitain
alttiuksia ei voi hyväksikäyttää etäältä, esim. ei ole vastaavaa
palvelua kuuntelemassa verkossa porttia. Mikäli niitä voi
hyväksikäyttää erikoistiedostoilla, joita voidaan tarjota verkon
kautta kun altis palvelu ei ole pysyvästi yhteydessä verkkoon, niin
tällaisissa tapauksissa kirjoitamme paikallinen (etä)
.
Tällaiset alttiudet ovat jossain paikallisen ja etäalttiuden välissä ja liittyvät usein arkistoihin, joita tarjotaan verkosta, esim. sähköpostin liitteenä tai imurointisivulta.
V: Sen sijaan, että päivittäisimme uuteen versioon, me siirrämme tietoturvakorjaukset takaisin vanhalle versiolle, jota toimitamme vakaassa julkaisussa. Tämän teemme varmistaaksemme, että julkaisu muuttuu niin vähän kuin mahdollista, jotta asiat eivät muuttuisi tai hajoaisi yllättäen turvakorjauksen seurauksena. Voit tarkistaa käytätkö paketin turvallista versiota katsomalla paketin muutoslokia tai vertaamalla sen tarkkaa versionumeroa Debianin turvatiedotteessa mainittuun versioon.
V: Yleensä tietoturvaryhmä julkaisee tiedotteen, jossa on mukana päivitetyt käännökset kaikille arkkitehtuureille, joita Debian tukee. Kuitenkin jotkut arkkitehtuurit ovat hitaampia kuin toiset ja toisinaan käännökset useimmille arkkitehtuureille ovat jo valmiina kun osa vielä puuttuu. Nämä pienemmät arkkitehtuurit edustavat pientä osaa käyttäjäkunnastamme. Riippuen asian tärkeydestä, saatamme päättää julkaista tiedotteen heti. Puuttuvat käännökset asennetaan heti kun ne tulevat saataville, mutta myöhempää tiedotetta tästä ei anneta. Emme tietenkään koskaan julkaise tiedotetta ilman i386- tai amd64-käännöstä.
V: Lyhyt vastaus on: ei mitenkään. Epävakaa on nopeasti muuttuva kohde ja tietoturvaryhmällä ei ole tarvittavia voimavaroja tukeakseen sitä kunnolla. Jos haluat turvallisen (ja vakaan) palvelimen, rohkaisemme sinua vahvasti käyttämään vakaata julkaisua.
V: Jos haluat turvallisen (ja vakaan) palvelimen, rohkaisemme sinua
vahvasti käyttämään vakaata julkaisua. Testattavalle jakelulle on kuitenkin
tarjolla tietoturvatukea: Debianin testattavan jakelun
tietoturvaryhmä käsittelee jakelua koskevat ongelmat. Ryhmä varmistaa
että korjatut paketit saapuvat testattavaan perinteistä reittiä epävakaan
kautta (lyhennetyllä karanteeniajalla), tai, mikäli se kestää liian kauan,
paketit laitetaan saataville normaaliin tapaan http://security.debian.org-infrastruktuurin
kautta. Päivitykset saa käyttöön kun varmistetaan että tiedostosta
/etc/apt/sources.list
löytyy seuraava rivi:
deb http://security.debian.org <koodinimi>/updates main
ja ajetaan apt-get update && apt-get upgrade
tavalliseen tapaan.
Huomaa, että tämä ei ole tae siitä että kaikki tunnetut tietoturvaviat olisi korjattu testattavassa! Jotkut päivitetyt paketit saattavat odottaa siirtymistä testattavaan. Lisätietoja testattavan tietoturvainfrastruktuurista löytyy osoitteesta \ http://secure-testing-master.debian.net/.
A: Lyhyt vastaus on: ei mitenkään. Contrib ja non-free eivät ole osa virallista Debian-jakelua eikä niitä ole siis julkaistu, ja niin ollen tietoturvaryhmä ei myöskään tue niitä. Joitakin non-free-paketteja levitetään ilman lähdekoodia tai ilman muutettujen versioiden levittämistä sallivaa lisenssiä. Kyseisissä tapauksissa tietoturvakorjauksia ei voida tehdä lainkaan. Mikäli ongelman korjaus on mahdollista, ja paketin ylläpitäjä tai joku muu tarjoaa oikeat päivitetyt paketit, tällöin tietoturvaryhmä yleensä käsittelee ne ja julkaisee tiedotteen.
A: Pyrimme mainitsemaan tiedotteessa epävakaan ensimmäisen version joka sisältää korjauksen. Toisinaan käy niin että paketin ylläpitäjä on ehtinyt lähettää paketista jo uudemman version. Vertaa epävakaan versionumeroa tiedotteessa mainittuun versionumeroon. Jos se on sama tai suurempi, ko. haavoittuvuus on korjattu paketista.
V: Itse asiassa niitä on olemassa. Virallisia peilauksia on useita, ne on toteutettu DNS-aliaksien avulla. security.debian.org:n tarkoituksena on tuoda tietoturvapäivitykset saataville mahdollisimman nopeasti ja vaivattomasti.
Epävirallisten peilausten käytön suosittelu lisäisi turhaa monimutkaisuutta, jota ei haluta, ja voi aiheuttaa turhautumista jos ne eivät ole ajan tasalla.
V: Useat toimittajat (enimmäkseen GNU/Linux, mutta myös BSD-johdannaisten) koordinoivat yhdessä turvallisuusvaroituksia joissain tapauksissa ja sopivat yhteisestä aikataulusta siten että kaikki toimittajat voivat julkaista ohjeensa samaan aikaan. Tätä tiedotetta päätettiin lykätä, koska jotkut toimittajat tarvitsivat enemmän aikaa (esim. koska toimittajan linjaan kuuluu pitkät pakettien testiohjelmat tai toimittajalla on monta arkkitehtuuria tuettavana). Debianin tietoturvaryhmä valmistautuu tiedotteisiin ajoissa. Silloin tällöin tietoturvaongelmiin täytyy löytää ratkaisu, ennen kuin tietoturvatiedote voidaan julkaista, ja siksi välillä jotkin tiedotteet jäävät väliaikaisesti ilman numeroa.
V: Tietoturvaan liittyvää tietoa voit lähettää osoitteeseen security@debian.org tai team@security.debian.org, joita lukee vain tietoturvaryhmä.
Mikäli olet paketin ylläpitäjä ja haluat ottaa yhteyttä liittyen pakettiasi koskevaan seikkaan, ole hyvä ja kirjaa asia seurantajärjestelmäämme. Mikäli haluat käyttää PGP-salausta, on kuitenkin parempi käyttää tavallista sähköpostia.
Jos haluat, voit salakirjoittaa viestisi Debianin tietoturvakontaktin avaimella (avaimen ID \ 0x0D59D2B15144766A14D241C66BAF400B05C3E651). Tietoturvaryhmän yksittäisten jäsenten PGP/GPG-avaimet löytyvät keyring.debian.org-avainpalvelimelta.
V: Jos saat tietää tietoturvaongelmasta, joko omassa paketissasi tai jonkun muun, ota aina yhteyttä tietoturvaryhmään. Jos ryhmä varmistaa alttiuden ja muut toimittajat lienevät alttiita myös, ryhmä ottaa yleensä yhteyttä myös muihin toimittajiin. Jos alttiutta ei ole julkistettu, ryhmä yrittää koordinoida tietoturvatiedotteet muiden toimittajien kanssa, jotta kaikki jakeluversiot korjataan samanaikaisesti.
Mikäli haavoittuvuus tunnetaan jo julkisesti, varmista, että
kirjaat vikailmoituksen Debianin vianseurantajärjestelmään ja lisäät
siihen merkinnän security
(tietoturva).
Jos olet Debian-ylläpitäjä, katso alla.
V: Jos saat tietää tietoturvaongelmasta, joko omassa paketissasi tai jonkun muun, ota aina yhteyttä tietoturvaryhmään mieluiten kirjaamalla asian seurantajärjestelmään, mutta voit myös lähestyä sähköpostilla osoitteeseen team@security.debian.org. He pitävät kirjaa tunnetuista tietoturvaongelmista, voivat auttaa ylläpitäjiä korjaamaan tai korjaavat ongelmat itse, ovat vastuussa tiedotteiden lähettämisestä ja ylläpitävät security.debian.org-konetta.
\ Kehittäjien käsikirjassa on täydelliset ohjeet mitä tehdä.
On tärkeää, ettet lähetä tiedostoja mihinkään muuhun kuin epävakaaseen ilman tietoturvaryhmän lupaa, koska heidän ohittamisensa aiheuttaa sekaannusta ja lisää työtä.
tiedostoa ei löydy-ilmoituksen.
V: Kun uudempi vikakorjaus korvaa vanhemman paketin
security.debian.org:ssa, on erittäin todennäköistä, että vanha paketti
poistetaan samalla kun uusi asetetaan saataville. Tästä syystä saat
tiedostoa ei löydy
-ilmoituksen. Me emme halua jaella paketteja,
joissa on tunnettuja tietoturvaongelmia yhtään pidempään kuin on
pakollista.
Käytä tuoreimpien tietoturvatiedotteiden mukaisia paketteja, joista
ilmoitetaan \
debian-security-announce-postilistan kautta. On parasta
yksinkertaisesti ajaa apt-get update
ennen pakettien
päivittämistä.
V: Et voi. Security.debian.org-palvelimen arkistoa ylläpitää tietoturvaryhmä, joiden täytyy hyväksyä kaikki paketit. Sen sijaan sinun tulisi lähettää korjaus tai kunnollinen lähdekoodipaketti tietoturvaryhmälle, joko seurantajärjestelmään tai osoitteeseen team@security.debian.org. Tietoturvaryhmä tarkistaa muutoksesi ja siirtää sen palvelimelle, joko muokattuna tai muokkaamattomana.
Jos et ole tottunut tietoturvapäivityksiin etkä ole sataprosenttisen varma siitä, että pakettisi on ehjä, käytä tätä tapaa äläkä lähetä sitä saapuvat-hakemistoon. Tietoturvaryhmällä on vain rajoitetusti vaihtoehtoja käsitellä rikkinäisiä paketteja, erityisesti jos versionumero ei ole järkevä. Tällä hetkellä paketteja ei voi hylätä ja buildd menisi sekaisin jos se olisi mahdollista. Siksi käytä mieluummin sähköpostia ja auta olemalla lisäämättä tietoturvaryhmän tuskaa.
\ Kehittäjien käsikirjassa on täydelliset ohjeet mitä tehdä.
V: Teknisesti ottaen voit. Sinun ei kuitenkaan pidä tehdä näin,
koska tämä häiritsee huomattavasti tietoturvaryhmän työtä. Paketit
security.debian.org:sta kopioidaan automaattisesti
proposed-updates-hakemistoon. Jos paketti, jolla on sama tai
korkeampi versionumero on jo lisätty arkistoon, arkistojärjestelmä
hylkää tietoturvapäivityksen. Näin vakaaseen jakeluun ei saada tälle
paketille tietoturvapäivitystä, ellei proposed-updates-hakemiston vääriä
paketteja ole sitten hylätty. Sen sijaan ota yhteyttä tietoturvaryhmään ja
sisällytä kaikki yksityiskohdat alttiudesta ja liitä lähdetiedostot (esim.
diff.gz- ja dsc-tiedostot) sähköpostiisi.
\ Kehittäjien käsikirjassa on täydelliset ohjeet mitä tehdä.
V: Jos olet erittäin varma, että pakettisi eivät riko mitään, että
versio on järkevä (eli suurempi kuin versio vakaassa ja pienempi kuin
testattavassa/epävakaassa), että et muuttanut paketin toimintaa muutoin kuin
korjaamalla tietoturvaongelman, että käänsit paketin oikealle jakelulle
(joka on oldstable-security
tai stable-security
),
että paketti sisältää alkuperäisen lähdekoodin jos paketti on uusi
security.debian.org:ssa, että voit varmistaa muutoksen tuoreimpaan versioon
olevan puhdas ja se koskee ainoastaan kyseessä olevaa tietoturvaongelmaa
(tarkista interdiff -z
:lla ja molemmat
.diff.gz
-tiedostot), että olet oikolukenut muutokset vähintään
kolmasti, ja että debdiff
ei näytä mitään muutoksia, voit
lähettää tiedostot suoraan security.debian.org:in incoming-hakemistoon
ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue
. Lähetä
huomautus asiasta kaikilla yksityiskohdilla ja linkeillä varustettuna myös
osoitteeseen team@security.debian.org .
V: Tarkista jokainen ongelma ennen kuin raportoit sen osoitteeseen security@debian.org. Jos kykenet toimittamaan korjauksen, se nopeuttaa prosessia. Älä pelkästään edelleenlähetä bugtraq-posteja, koska vastaanotamme ne muutenkin. Jos kuitenkin kykenet tarjoamaan lisätietoa, siitä on aina apua.
Alkuun pääsee vaikkapa auttamalla Debianin tietoturvan seurantapalvelimen (ohjeistuksessa).
V: Tämä hakemisto sisältää paketteja, jotka ovat ehdolla seuraavaan versioon Debianin vakaasta julkaisusta. Aina kun ylläpitäjä lähettää paketin vakaaseen julkaisuun, paketti päätyy proposed-updates-hakemistoon. Koska vakaan on tarkoitus todellakin olla vakaa, mitään automaattisia päivityksiä ei tehdä. Tietoturvaryhmä lähettää korjatut paketit tiedotteiden kera vakaaseen, ja nämäkin paketit päätyvät ensin proposed-updates-hakemistoon. Muutaman kuukauden välein vakaan julkaisupäällikkö käy läpi listan paketeista proposed-updatesissa ja ottaa selvää mitkä paketit soveltuvat vakaaseen ja mitkä eivät. Näistä hyväksytyistä paketeista tehdään uusi versio vakaasta (kuten 2.2r3 tai 2.2r4). Paketit, jotka eivät ole kelvollisia, tullaan todennäköisesti hylkäämään ja poistamaan myös proposed-updates-hakemistosta.
Huomaathan, että tietoturvaryhmä ei tue ylläpitäjien itse (ei siis tietoturvaryhmän) proposed-updates/-hakemistoon lähettämiä paketteja.
V: Tietoturvaryhmä koostuu useista jäsenistä ja sihteereistä. Tietoturvaryhmä nimittää itse liittyvät ihmiset.
V: Tietoturvaryhmä yrittää tukea vakaata jakelua vielä noin yhden vuoden siitä kun seuraava vakaa jakelu on julkaistu, paitsi jos vielä toinen vakaa jakelu julkaistaan vuoden sisällä. Kolmen jakelun tukeminen ei ole mahdollista; kahdenkin jakelun tukeminen samanaikaisesti on riittävän vaikeaa.
V: Tämä prosessi käsittää Release-tiedoston allekirjoituksen tarkistamisen julkista avainta vasten, jota käytetään arkistoon. Release-tiedosto sisältää tarkistussummat Packages- ja Sources-tiedostoille, jotka sisältävät tarkistussummat binääri- ja lähdekoodipaketeille. Yksityiskohtaiset ohjeet pakettien eheyden tarkistamiseen löydät \ Debianin tietoturvaoppaasta.
V: Ensimmäiseksi tulisi selvittää miksi paketti hajoaa, ja miten se liittyy tietoturvapäivitykseen. Tämän jälkeen, ota yhteyttä tietoturvaryhmään jos vika on vakava, tai vakaan julkaisun versiojohtajaan jos vika on vähemmän vakava. Kyse on siis satunnaisista paketeista jotka hajoavat jonkun toisen paketin tietoturvapäivityksen yhteydessä. Jos et keksi, mikä menee vikaan, mutta pystyt korjaamaan vian, ota yhteyttä myöskin tietoturvaryhmään. Sinut saatetaan kuitenkin ohjata vakaan julkaisun versiojohtajan pakeille.