Bundesamt für Sicherheit in der Informationstechnik

M 4.327 Überprüfung der Integrität und Authentizität der Samba-Pakete und -Quellen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nachdem bei der Planung des Einsatzes von Samba (siehe M 2.437 Planung des Einsatzes eines Samba-Servers ) entschieden wurde, ob Samba aus einem Quelltext- oder Binärpaket installiert wird, muss dessen Authentizität überprüft werden (siehe auch M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen ). Die Herkunft der zu installierenden Software sollte ebenso wie der Prozess der Integritätsprüfung der Software dokumentiert werden.

1. Installation aus einem Quelltextpaket

Die Entwickler von Samba verwenden mit dem Programm GnuPG erstellte digitale Signaturen zur Absicherung der Quelltextpakete (siehe auch M 5.63 Einsatz von GnuPG oder PGP . Die digitale Signatur befindet sich stets in einer gesonderten Datei, die den gleichen Namen trägt, wie das Paket selbst, jedoch ergänzt durch das Suffix ".asc". Beispielsweise wird die digitale Signatur des Pakets samba-3.0.28a.tar.gz in der Datei samba-3.0.28a.tar.asc zur Verfügung gestellt.

Der öffentliche Schlüssel, den die Samba-Entwickler zum Signieren nutzen, hat die Benutzer-ID "Samba Distribution Verification Key <samba-bugs@samba.org>". In der Regel ist der Schlüssel mit einem Ablaufdatum von ein bis zwei Jahren versehen. Danach kommt ein neuer Schlüssel, mit einem neuen Fingerabdruck (englisch: Fingerprint) zum Einsatz. Der öffentliche Schlüssel kann beispielsweise über folgende Quellen bezogen werden:

  • Über den Webserver des Samba Projekts. Die Datei http://www.samba.org/samba/ftp/samba-pubkey.asc enthält der von den Samba-Entwicklern zum Signieren von Quellcode benutzte öffentlichen GPG-Schlüssel.
  • Über einen Keyserver.

Bevor das Quelltextpaket überprüft werden kann, muss es mit gzip -d samba-<version>.tar.gz dekomprimiert werden.

2. Installation aus Binärpaketen der Distribution

Wird Samba aus den offiziellen Installationsquellen der verwendeten Distribution über einen entsprechenden Paketmanager (zum Beispiel yum oder rpm) installiert, so stellt in der Regel der Paketmanager die Authentizität und Integrität der Pakete sicher.

3. Installation aus Binärpaketen fremder Quellen

Werden Binärpakete aus Installationsquellen, die nicht Teil der eingesetzten Distribution sind, bezogen, so muss sichergestellt werden, dass es sich um einen vertrauenswürdigen Anbieter handelt. Die Überprüfung der Authentizität der Binärpakete erfolgt in weiterer Folge entweder wie im Abschnitt "Installation aus einem Quelltextpaket" oder Abschnitt "Installation aus Binärpaketen der Distribution" beschrieben.

Prüffragen:

  • Wurde eine Authentizitäts- und Integritätsprüfung der Installationspakete vorgenommen?

  • Sind die Herkunft der Installationspakete und die vorgenommene Integritätsprüfung dokumentiert?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK