[ubuntu-nl gemeenschapsraad] Hoe wordt de veiligheid van de Nederlandse images gegarandeerd?

Redmar redmar op ubuntu-nl.org
Ma mei 7 22:38:48 CEST 2012


Thomas de Graaff schreef op ma 07-05-2012 om 19:50 [+0200]:
> Ok, ik begrijp dat het een aangepaste iso is, anders was er wel naar de
> standaard iso van Bit gelinked. 
> 
> Mijn vraag is: hoe weet iemand die de cd download dat de aanpassingen
> gegarandeerd veilig zijn? Worden de iso's door Canonical gegarandeerd,
> heeft het securityteam van Canonical de cd's goedgekeurd? M.a.w. wie
> controleert dat de gemaakte aanpassingen veilig zijn? Of moeten de
> mensen die de cd's downloaden op de blauwe ogen van een vrijwilliger
> vertrouwen die de iso heeft gemaakt dat deze er geen trojan in heeft
> gestopt oid?

De iso's worden door mij gemaakt, met tools die door Canonical zijn
gemaakt (ubuntu-defaults-builder om precies te zijn). Ik weet niet
welke controles Canonical op de standaard iso's uitvoert, maar de
gelokaliseerde iso's gaan niet door een soort controle bij Canonical
heen. Ik denk niet dat dat een probleem hoeft te zijn, er zitten zo'n
60.000 pakketten in de repositories, en die zijn vast niet allemaal door
Canonical getest. De meeste van deze pakketten zijn ook gewoon door
vrijwilligers zijn gemaakt die we maar 'moeten' vertrouwen.

Ik ben het er wel mee eens dat we als ubuntu-nl wat meer kunnen doen om
de veiligheid van de Nederlandse images te garanderen. Het eenvoudigste
is denk ik om de verschillen tussen de originele en de Nederlandstalige
images te vergelijken. Als het goed is zouden er maar in een klein
aantal bestanden verschillen moeten zitten. Ik zal proberen of ik een
goede manier kan vinden om de iso's te vergelijken en dit dan op deze
lijst plaatsen. Als er dan 3 of 4 vrijwilligers zijn die kunnen kijken
of er geen veranderingen op vreemde plekken zitten denk ik dat we als
ubuntu-nl redelijkerwijs kunnen 'garanderen' dat er niets vreemds met de
images aan de hand is.

De aanpassingen zijn in het kort als volgt:
1) Standaard taal is Nederlands
2) De standaard radiostations in rhythmbox en banshee zijn aangepast
3) Bovenstaande wijzigingen zitten in het pakket ubuntu-defaults-nl-nl
uit de ppa:redmar/nederland, deze ppa is ook standaard aan de
softwarebronnen toegevoegd. Dit is volgens de co÷rdinator van de
gelokaliseerde images ook de 'best practice', omdat ik zo updates naar
de gebruikers kan verspreiden (bijvoorbeeld als een radiostation de
streaming URL aanpast).

Als mensen zelf de iso willen bouwen om die met 'mijn' versie te
vergelijken kan dat met het volgende commando:

sudo apt-get install ubuntu-defaults-builder

ubuntu-defaults-image --ppa redmar/nederland --locale nl_NL

Groet,
Redmar

PS: Als je nu de images bouwt zullen de updates die sinds het uitkomen
van precise vrijgegeven zijn al direct in de iso meegenomen worden. Dit
zal voor extra verschillen zorgen.

> Niet om flauw te zijn hoor, maar ik vind het wel belangrijk dat de cd's
> die mensen vanaf de standaard download van onze site halen 100% even
> veilig zijn als de cd's die mensen van ubuntu.com halen. Indien dat niet
> gegarandeerd kan worden, dan moeten de Nederlandse iso's wat mij betreft
> niet als standaard download aangeboden maar als extra optie, waarbij dan
> vermeld wordt dat deze iso door vrijwilligers van Ubuntu-NL is gemaakt,
> en niet door Canonical oid.
> 
> On ma, 2012-05-07 at 18:58 +0200, Timo Diedering wrote:
> > Op maandag 7 mei 2012 18:51:03 schreef Thomas de Graaff:
> > > Beste gemeenschapsraad,
> > > ik zie dat er vanaf de www.ubuntu-nl.org website standaard Nederlandse
> > > images worden aangeboden:
> > > http://people.ubuntu.com/~redmar/ubuntu-12.04-desktop-i386-nl.iso
> > > en
> > > http://people.ubuntu.com/~marten-de-vries/ubuntu-12.04-desktop-amd64-nl.iso
> > > 
> > > Ik vraag me af hoe het zit met de veiligheid van deze images. Hoe wordt
> > > gegarandeerd dat deze images ok zijn? Of is de veiligheid vergelijkbaar
> > > met die van ppa's?
> > > 
> > > vriendelijke groet,
> > > Thomas.
> > 
> > Dag Thomas,
> > 
> > Wat ik heb begrepen is dat slechts een aantal dingen zijn aangepast. Het is 
> > een Ubuntu build, met wat veranderde instellingen, een hyperlink naar de 
> > Ubuntu-nl site, en taalpakketten. Alles uit de standaard pakketbronnen. In 
> > mijn ogen dus geen verhoogd veiligheidsrisico ;-)
> > 
> > Groetjes,
> > Timo
> 

------------- volgend deel ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.ubuntu-nl.org/pipermail/gemeenschapsraad/attachments/20120507/993382dd/attachment.pgp>


Meer informatie over de gemeenschapsraad maillijst