Fazit

Mit RPM sichere Pakete zu erzeugen ist keine Hexerei. Mit ein paar zusätzlichen Handgriffen lassen sich Pakete signieren und vor Manipulationen auf dem Weg zum Client schützen. Das Verfahren ist einfach und lässt sich mit wenig Aufwand automatisieren.

Enterprise-Distributionen wie SLES und RHEL mit ihren Signaturen bieten hier prinzipiell die gleiche Sicherheit wie die Community-Distributionen, weil die verwendeten Tools identisch sind. Jeder Admin, der selbst Pakete baut, kann – eine gewisse Umsicht vorausgesetzt – ebenso sichere Software bauen wie ein Distributor, solange er die Grundregeln beachtet. Die Qualität und Länge der Schlüssel liegt beim Eigenbau vollständig in der Hand des Admins, ebenso ist es sein Job, sichere und vertrauenswürdige Kanäle bereit zu stellen, über die die Dateien an den Anwender gelangen.

Genau da liegt aber der größte Vorteil, den die Enterprise-Distributionen für sich verbuchen können: Sie haben zertifizierte und signierte Pakete schon an Bord. Wem die nicht reichen, der muss das Risiko selbst schultern. (mfe)