Forum Linux.debian/ubuntu installer un paquet sans être root

Posté par  .
Étiquettes :
0
30
sept.
2007
Bonjour,

Premièrement, pouvez-vous me confirmer que quand on installe un paquet debian en tant que root (apt-get install ou dpkg -i), des scripts contenus dans le paquet s'exécutent, avec les droits root ?

Mon souci est que quand on télécharge un paquet debian d'un programme sur internet, on ne peut pas faire aveuglément confiance au fabriquant du paquet, et je me demande s'il est possible d'installer le programme dans un répertoire local, sans être root.

Quels autres techniques existent pour agir avec sûreté ? Qelles sont vos astuces pour ne pas installer à son insu un programme mal intentionné ?

Je crains que de plus en plus de virus ou programmes malveillants se propageront par ce moyen.


Merci de vos conseils.
Goeb
  • # Mouai

    Posté par  (site web personnel) . Évalué à 2.

    Salut,

    Oui les scripts de pre et post install sont exécutés en tant que root tout comme les scripts de pre et post suppression.

    Si tu es parano n'utilise que des paquets issus de l'archive debian. Si tu veux voir le contenu de ces scripts avant de les exécuter utilise la commande "ar" pour extraire le contenu du paquet debian. Ensuite, extrait le fichier control.tar.gz pour voir le contenu des scripts en question.

    Personnellement je n'utilise aucune technique pour me protéger et je n'ai jamais eu de problème.
    • [^] # Re: Mouai

      Posté par  . Évalué à 2.

      tu peux aussi n'utiliser que les depots dont tu es sur via un systeme de signature des depots (de plus en plus proposé)

      voir comparer les md5sum des fichiers telechargés avec ceux affichés sur le site du fournisseur.
      • [^] # Re: Mouai

        Posté par  . Évalué à 3.

        je pense que la question mérite d'être posée. Effectivement de plus en plus de logiciels sont disponibles et empaquetés pour Debian et consorts, sans forcément être dans les dépôts officiels.
        À part dans une machine virtuelle, je ne vois pas comment faire sans risquer de compromettre la machine. Il est également possible d'extraire l'intégralité de l'archive avec la commande :
        dpkg --extract paquet.deb répertoire/
        et si le programme n'est pas trop mal fait ni trop compliqué, on peut l'exécuter directement avec les droits utilisateurs.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.