Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Dodałem do repozytoriów tora tak jak wcześniej, dodałem także klucze gpg w ten sposob:
gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -[/quote]
I nigdy po wpisaniu następnie aptitude update nie było problemów ale teraz dostaję komunikat
KEYEXPIRE 140(i dalej jakies cyfry których nie pamietam)
Domyślam się że klucz jest już nie ważny ale nie wiem jak dodać nowy i który wybrać.
Offline
970
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:42)
Offline
We provide a Debian package to help you keep our signing key current. It is recommended you use it. Install it using
[tt]apt-get install deb.torproject.org-keyring[/tt]
To finally install Tor just run:
[tt]apt-get install tor[/tt][/quote]
https://www.torproject.org/docs/debian.html.en
Offline
uzytkownikubunt - NIE ROZUMIEM
yossarian - tego keyringa nie chce, jak probuje zainstalowac wywala mi cos o bezpieczenstwie, wolalbym po prostu dodac jakis aktualny kod, na jakiejs stronie widzialem niby dla tora klucze i wazne do 2015 roku ale nie umiem tego dodac, nie wiem, pododawalem te z dluzsza data przydatnosci ale dalej mam ten error.
Offline
[quote=relv1]yossarian - tego keyringa nie chce, jak probuje zainstalowac wywala mi cos o bezpieczenstwie, wolalbym po prostu dodac jakis aktualny kod, na jakiejs stronie widzialem niby dla tora klucze i wazne do 2015 roku ale nie umiem tego dodac, nie wiem, pododawalem te z dluzsza data przydatnosci ale dalej mam ten error.[/quote]
Wywala komunikat bo instalujesz niezweryfikowany pakiet. Ale po to właśnie instalujesz ten pakiet z kluczem żeby pakiety były już potem weryfikowane. Powinieneś właśnie ten pakiet z kluczem zainstalować.
Wszystko masz przecież napisane.
Po co szukasz problemów tam gdzie ich nie ma?
Offline
971
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:43)
Offline
[quote=uzytkownikubunt]Musisz po prostu ustawić w komputerze datę na dzień wcześniej. Takie tymczasowe rozwiązanie, dopóki nie zostanie wygenerowany nowy klucz i nie udostępnią o tym informacji na stronie https://www.torproject.org/docs/signing-keys.html.en[/quote]
Po co ma kombinować ze zmianą daty?
To nie jest „rozwiązanie” a jakieś idiotyczne kombinowanie na siłę.
We provide a Debian package to help you keep our signing key current. It is recommended you use it[/quote]
Offline
yossarian - no ale skoro wywaliło taki błąd to może faktycznie bezpieczniej by było samemu wprowadzać te klucze.
uzytkownikubunt - ale na tej stronie co podałeś są przeciez keye ważne do 2015
pub 4096R/4B7C3223 2013-07-30
Key fingerprint = 35CD 74C2 4A9B 15A1 9E1A 81A1 9437 3AA9 4B7C 3223
uid Georg Koppen <gk@torproject.org>
uid Georg Koppen <groeg@vfemail.net>
uid Georg Koppen <georg@getfoxyproxy.org>
sub 4096R/97955E07 2013-07-30 [expires: 2014-07-30]
sub 4096R/AC3A821D 2013-07-30 [expires: 2014-07-30]
sub 4096R/A97A53DC 2014-07-08 [expires: 2015-07-08]
sub 4096R/E5AE3C98 2014-07-08 [expires: 2015-07-08][/quote]
wiec czemu nie mozna ich uzyc ?
Offline
972
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:45)
Offline
Komunikaty wyświetla automat. Dzieje się tak zawsze gdy instalujesz niezweryfikowane pakiety.
Ale po to użytkownik komputera ma mózg, żeby czasem go używał.
Po to instalujesz ten pakiet bo w nim masz aktualizowane klucze.
Ten klucz i tak jest nieaktualny, ale gdy zostanie uaktualniony to po prostu zaktualizuje się pakiet z kluczem i nie będziesz musiał ręcznie szukać informacji.
Dlaczego nie zainstalujesz tora z oficjalnego repozytorium?
Offline
instaluje tora z repozytorium z tego repozytorium deb - http://deb.torproject.org/torproject.org testing main -, nie wiem jaka jest roznica, jesli znasz te oficjalne mozesz podac
okej to już tylko 2 pytania:
1.Dlaczego w tym pakiecie jest aktualny klucz a na stronie tora jeszcze go nie ma ?
2.Czy nie może być takiej akcji że ten pakiet albo sami twórcy tora nie zamieszczą takiego klucza który może być szkodliwy dla mojego systemu albo automatycznie zdradzać mnie w sieci, całkowicie łamiąc moje bezpieczeństwo ?
Ostatnio edytowany przez relv1 (2014-08-30 17:34:37)
Offline
W tym pakiecie tez jest ten sam klucz.
Różnica jest taka, że klucze zawsze mają swój termin ważności i po prostu co jakiś czas aktualizuje się pakiet z nowszą wersja kluczy i nie trzeba recznie szukać nowszych.
W tym przypadku ja bym zainstalował normalnie z repozytorium Debiana. Nad nim czuwają bardziej odpowiedzialni ludzie.
Offline
Okej jak możesz to odpowiedz mi na moje dwa pytania które zamieściłem powyżej i ponadto chce spytac jeszcze co zrobic wg ciebie - pakiet z oficjalnego repo + ten pakiet keyring czy bez niego ?
Offline
Usuń tamto repozytorium.
Potem:
aptitude update
i zainstaluj z oficjalnego repozytorium.
W tamtym pakiecie jest ten sam nieaktualny klucz. Pakiet z kluczami jest zalecany bo działa tak jak każdy inny pakiet z repozytorium — dzięki temu masz zawsze aktualizowany gdy pojawi się nowsza wersja.
Szkodliwe mogą być rzeczy które instalujesz. Jeśli ufasz opiekunowi danego repozytorium to klucze GPG zwiększają bezpieczeństwo poprzez wiarygodność danych pakietów w porównaniu.
Najbezpieczniej nie używać zewnętrznych repozytoriów gdy nie ma takiej potrzeby. Szczególnie tych bez kluczy GPG.
Do oficjalnego repozytorium trudno wrzucić coś szkodliwego.
Offline
973
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:46)
Offline
@uzytkownikubunt:
Jeżeli tak samo szybko aktualizują pakiety z kluczami i same klucze to nie ma co się podniecać „szybszym dostępęm do aktualizacji bezpieczeństwa do tego pakietu”.
Offline
974
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:47)
Offline
Ale np jeśli tor zacząłby coś mącić to może sprytne oko developerów debiana by mogło nas uchronić. Bo tak na marginesie to nie ufam ani tym od tora ani od debiana, ogólnie to staram się nie ufać nikomu
Ostatnio edytowany przez relv1 (2014-08-30 17:58:43)
Offline
975
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:48)
Offline
[quote=uzytkownikubunt]A skąd mają brać paczkujący w Debianie aktualizacje bezpieczeństwa dla Tora? Backportują je po wydaniu oficjalnego pakietu w repo Tora. Więc na pewno będzie szybciej korzystać z oficjalnego repozytorium[/quote]
Repozytorium Tora:
28-Jul-2014 20:50
Repozytorium Debiana:
Mon, 28 Jul 2014 22:22:24
Rozumiem, że aktualizujesz system częściej niż co 1,5 godz. i ma to kluczowe znaczenie ;)
Offline
[quote=uzytkownikubunt]A skąd mają brać paczkujący w Debianie aktualizacje bezpieczeństwa dla Tora? Backportują je po wydaniu oficjalnego pakietu w repo Tora. Więc na pewno będzie szybciej korzystać z oficjalnego repozytorium[/quote]
Hmm, herezje prawisz. Debian bierze upstreamowe źródła:
[quote=debian/watch]http://dist.torproject.org/tor-(.*)\.tar\.gz[/quote]
Offline
[quote=mati75][quote=uzytkownikubunt]A skąd mają brać paczkujący w Debianie aktualizacje bezpieczeństwa dla Tora? Backportują je po wydaniu oficjalnego pakietu w repo Tora. Więc na pewno będzie szybciej korzystać z oficjalnego repozytorium[/quote]
Hmm, herezje prawisz. Debian bierze upstreamowe źródła:
[quote=debian/watch]http://dist.torproject.org/tor-(.*)\.tar\.gz[/quote]
[/quote]
Pod pewnymi względami (nauka "wyuczonej bezradności") Ubuntu jest groźniejsze, niż ptasia grypa. ;)
Offline
976
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:56:50)
Offline
[quote=uzytkownikubunt]@mati75 Da się sprawdzić czy tak też było w Squeeze i na początku Wheezy, gdy były wersjami stable?[/quote]
Debian 6.0 Squeeze był wydany 2011-02-06 repozytorium wtedy zawierało pakiet [deb]tor[/deb] w wersji 0.2.1.29-1, a plik debian/watch zawierał takie wpisy:
version=2 http://tor.eff.org/dist/tor-(.*)\.tar\.gz
Debian 7.0 Wheezy był wydany 2013-05-04 repozytorium wtedy zawierało pakiet [deb]tor[/deb] w wersji 0.2.3.25-1, a plik debian/watch zawierał takie wpisy:
version=2 http://tor.eff.org/dist/tor-(.*)\.tar\.gz
Offline
@Up - Hmmm, czyli co to znaczy ? :D
A tak poza tym to chyba w dowolnej chwili mógłbym sprawdzić jaki pub key mam aktualnie i w razie potrzeby usunąć cały ten pakiet z zależnościami odpowiadający za aktualizacje tych kluczy ?
Ostatnio edytowany przez relv1 (2014-08-30 20:45:56)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00129 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.226.104.30' WHERE u.id=1 |
0.00109 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.226.104.30', 1732407963) |
0.00048 | SELECT * FROM punbb_online WHERE logged<1732407663 |
0.00068 | DELETE FROM punbb_online WHERE ident='18.188.140.232' |
0.00042 | SELECT topic_id FROM punbb_posts WHERE id=274297 |
0.00138 | SELECT id FROM punbb_posts WHERE topic_id=26336 ORDER BY posted |
0.00068 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26336 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00097 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26336 ORDER BY p.id LIMIT 0,25 |
0.00116 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26336 |
Total query time: 0.00839 s |