[ubuntu-nl gemeenschapsraad] Hoe wordt de veiligheid van de Nederlandse images gegarandeerd?

Thomas de Graaff thomas op thomasdegraaff.nl
Ma mei 7 22:58:31 CEST 2012 

On ma, 2012-05-07 at 22:38 +0200, Redmar wrote:
> Thomas de Graaff schreef op ma 07-05-2012 om 19:50 [+0200]:
> > Ok, ik begrijp dat het een aangepaste iso is, anders was er wel naar de
> > standaard iso van Bit gelinked. 
> > 
> > Mijn vraag is: hoe weet iemand die de cd download dat de aanpassingen
> > gegarandeerd veilig zijn? Worden de iso's door Canonical gegarandeerd,
> > heeft het securityteam van Canonical de cd's goedgekeurd? M.a.w. wie
> > controleert dat de gemaakte aanpassingen veilig zijn? Of moeten de
> > mensen die de cd's downloaden op de blauwe ogen van een vrijwilliger
> > vertrouwen die de iso heeft gemaakt dat deze er geen trojan in heeft
> > gestopt oid?
> 
> De iso's worden door mij gemaakt, met tools die door Canonical zijn
> gemaakt (ubuntu-defaults-builder om precies te zijn). Ik weet niet
> welke controles Canonical op de standaard iso's uitvoert, maar de
> gelokaliseerde iso's gaan niet door een soort controle bij Canonical
> heen. Ik denk niet dat dat een probleem hoeft te zijn, er zitten zo'n
> 60.000 pakketten in de repositories, en die zijn vast niet allemaal door
> Canonical getest. De meeste van deze pakketten zijn ook gewoon door
> vrijwilligers zijn gemaakt die we maar 'moeten' vertrouwen.

Persoonlijk denk ik niet dat je een pakket in de Ubuntu repo's zomaar
kan vergelijken met een willekeurige ppa qua veiligheid. Ik weet het
fijne er niet van, maar volgens mij krijg je niet zomaar een pakket in
de repo's, ook al zijn het er erg veel?

> 
> Ik ben het er wel mee eens dat we als ubuntu-nl wat meer kunnen doen om
> de veiligheid van de Nederlandse images te garanderen. Het eenvoudigste
> is denk ik om de verschillen tussen de originele en de Nederlandstalige
> images te vergelijken. Als het goed is zouden er maar in een klein
> aantal bestanden verschillen moeten zitten. Ik zal proberen of ik een
> goede manier kan vinden om de iso's te vergelijken en dit dan op deze
> lijst plaatsen. Als er dan 3 of 4 vrijwilligers zijn die kunnen kijken
> of er geen veranderingen op vreemde plekken zitten denk ik dat we als
> ubuntu-nl redelijkerwijs kunnen 'garanderen' dat er niets vreemds met de
> images aan de hand is.

Nice, dit vind ik een heel goed plan! :) Als er een mogelijkheid is om
de toevoegingen die gedaan zijn te zien, en dat wordt gecontroleerd door
een aantal mensen, dan kunnen we garanderen dat de images ok zijn. En
dan tevens de md5sums publiceren van de gecontroleerde iso's zodat
mensen dan ook zelf kunnen controleren of ze de gecontroleerde iso te
pakken hebben. Dat lijkt me een aardig waterdicht systeem.

P.s. Redmar, ik waardeer ten zeerste de inzet om gelocaliseerde cd's te
maken. Maar ik zie graag een procedurele veiligheid waarbij meerdere
ogen kijken of de veiligheid ok is. Niets persoonlijks!

> 
> De aanpassingen zijn in het kort als volgt:
> 1) Standaard taal is Nederlands
> 2) De standaard radiostations in rhythmbox en banshee zijn aangepast
> 3) Bovenstaande wijzigingen zitten in het pakket ubuntu-defaults-nl-nl
> uit de ppa:redmar/nederland, deze ppa is ook standaard aan de
> softwarebronnen toegevoegd. Dit is volgens de coördinator van de
> gelokaliseerde images ook de 'best practice', omdat ik zo updates naar
> de gebruikers kan verspreiden (bijvoorbeeld als een radiostation de
> streaming URL aanpast).
> 
> Als mensen zelf de iso willen bouwen om die met 'mijn' versie te
> vergelijken kan dat met het volgende commando:
> 
> sudo apt-get install ubuntu-defaults-builder
> 
> ubuntu-defaults-image --ppa redmar/nederland --locale nl_NL
> 
> Groet,
> Redmar
> 
> PS: Als je nu de images bouwt zullen de updates die sinds het uitkomen
> van precise vrijgegeven zijn al direct in de iso meegenomen worden. Dit
> zal voor extra verschillen zorgen.
> 
> > Niet om flauw te zijn hoor, maar ik vind het wel belangrijk dat de cd's
> > die mensen vanaf de standaard download van onze site halen 100% even
> > veilig zijn als de cd's die mensen van ubuntu.com halen. Indien dat niet
> > gegarandeerd kan worden, dan moeten de Nederlandse iso's wat mij betreft
> > niet als standaard download aangeboden maar als extra optie, waarbij dan
> > vermeld wordt dat deze iso door vrijwilligers van Ubuntu-NL is gemaakt,
> > en niet door Canonical oid.
> > 
> > On ma, 2012-05-07 at 18:58 +0200, Timo Diedering wrote:
> > > Op maandag 7 mei 2012 18:51:03 schreef Thomas de Graaff:
> > > > Beste gemeenschapsraad,
> > > > ik zie dat er vanaf de www.ubuntu-nl.org website standaard Nederlandse
> > > > images worden aangeboden:
> > > > http://people.ubuntu.com/~redmar/ubuntu-12.04-desktop-i386-nl.iso
> > > > en
> > > > http://people.ubuntu.com/~marten-de-vries/ubuntu-12.04-desktop-amd64-nl.iso
> > > > 
> > > > Ik vraag me af hoe het zit met de veiligheid van deze images. Hoe wordt
> > > > gegarandeerd dat deze images ok zijn? Of is de veiligheid vergelijkbaar
> > > > met die van ppa's?
> > > > 
> > > > vriendelijke groet,
> > > > Thomas.
> > > 
> > > Dag Thomas,
> > > 
> > > Wat ik heb begrepen is dat slechts een aantal dingen zijn aangepast. Het is 
> > > een Ubuntu build, met wat veranderde instellingen, een hyperlink naar de 
> > > Ubuntu-nl site, en taalpakketten. Alles uit de standaard pakketbronnen. In 
> > > mijn ogen dus geen verhoogd veiligheidsrisico ;-)
> > > 
> > > Groetjes,
> > > Timo
> > 
> 
> _______________________________________________
> gemeenschapsraad mailing lijst
> gemeenschapsraad op lists.ubuntu-nl.org
> http://lists.ubuntu-nl.org/gemeenschapsraad

-- 
Ik ga naar een Ubuntu Releaseparty. Kom jij ook? Kijk
op www.ubuntuparty.nl voor meer informatie.

Meer informatie over de gemeenschapsraad maillijst