Mailinglist Archive: opensuse-security (24 mails)

< Previous Next >
[opensuse-security] Re: [opensuse] How do I keep openSUSE secure?
  • From: Marcus Meissner <meissner@xxxxxxx>
  • Date: Mon, 8 Oct 2007 14:05:32 +0200
  • Message-id: <20071008120532.GB10371@xxxxxxx>
On Mon, Oct 08, 2007 at 01:21:47PM +0200, Aniruddha wrote:
> Coming from Gentoo I wonder how do I keep openSUSE secure (e.g. for
> rootkits)? In Gentoo there is one repository with 11.000+ packages which
> are all checked for vulnerabilities and verified with shasum.
> 
> In contrast openSUSE has many different repositories (Packman, Guru
> etc). I assume these are trusted resources. How can I tell if these
> rpm's are tampered with? 

>From the SUSE Security team perspective, only the official
repositories (OSS, Non-OSS and the Update) repos are fully ensured
and updated with security fixes. The GPG keys for those are checked
and are already on the CD/DVD.

The buildservice hosts packages by any user who wants to build them,
here you have to mostly trust the repository and its packagers.
There is no SUSE ensurance for it.
There is 1 global buildservice key, but this will be changed to 1 key
per buildservice repo.

packman and others have dedicated developers not working for SUSE usually
and you have to decide whether to trust them.

> How do I safely use the gnupg key system for repositories? Is accepting
> these keys when adding repositories with yast the preferred way? And if
> so how can I tell these are the correct keys?

SUSE repos - no import dialog should appear, the keys are preconfigured.

other repos - the id and the fingerprint is shown and you should review
them (and can fetch the key in another shell and use GPG to check it).

> What about rootkits? How do I protect my system for rootkits when
> downloading rpm's from sites such as rpmbone?

Difficult, because you dont really know what is in those RPMs.

> And my last question; where do I find security information for openSUSE?
> Is there a news site or mailinglist with announcement about security
> threats and vulnerabilities?

Others mentioned our mailinglists, opensuse-security and opensuse-security-announce
reachable from http://lists.opensuse.org . Also check
http://www.novell.com/linux/security/securitysupport.html

Ciao, Marcus
---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-security+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-security+help@xxxxxxxxxxxx

< Previous Next >
Follow Ups
References