Як Ubuntu гарантує безпеку пакетів та ISO з дзеркал?

Моє поточне місцезнаходження знаходиться в тисячах кілометрів від головного сервера Ubuntu, і я зобов’язаний використовувати одне з його дзеркал у своїй країні проживання.

Чи власники Ubuntu впроваджують заходи для періодичної перевірки своїх файлів (наприклад, ISO, оновлення, виправлення безпеки) на своїх дзеркальних майданчиках не були підроблені та / або зловмисне програмне забезпечення / трояни не введено хакерами?

Мій особистий досвід встановлення та оновлення Ubuntu з основного сервера займав щонайменше дві години, тоді як той самий процес зайняв всього 10-15 хвилин, коли я використовував дзеркальний сайт Ubuntu, доступний у моїй країні.

mirrors

— n00b
джерело

@ нижчі виборці: будь ласка, поясніть, чому ви проголосували в короткому коментарі; якщо б щось було, я б вважав це питання хоча б намаганням висловити законну стурбованість. Якщо у вас є підстави вважати, що про це не потрібно хвилюватися, поясніть, чому. Дякую.

— горіх про natty

Закрити виборців: Це не поза темою. Це могло б отримати користь від певного вдосконалення - адже насправді нічого у світі не є захистом від злому та злому. Але питання про те, які заходи безпеки вживаються проектом Ubuntu для контролю за безпекою дзеркал, які підтримують інші - про що це і задається - є хорошим (як загалом, так і для нашого сайту відповідно до FAQ).

— Елія Каган

Я трохи переглянув це, щоб бути більш загальним, що має стосуватися питань у питанні.

— Хорхе Кастро

Пов'язане читання: askubuntu.com/questions/56509/…

Що стосується ISO, я думаю, ви можете зробити хеш-перевірку MD5 на ISO, завантажений з дзеркала, на MD5, отриманий від батьків. Оскільки це той самий ISO, він повинен мати той же MD5, що і на батьківському сайті.

— Ахмадгео

Пакети в архіві Ubuntu підписані ключем GPG, який кожен, хто намагається замінити код на дзеркало, не обов'язково має. Можна було б підробити підписаний пакет, але це не надто тривіально.

Ви, як правило, можете довіряти пакетам, підписаним цими ключами GPG. Під час оновлення update-managerабо aptви будете попереджені, коли пакети не підписані ключем, який знаходиться в системному підході пакета. Вам доведеться вручну прийняти встановлення таких пакетів. Якщо ви побачите це попередження для пакету, що надходить з офіційного архіву Ubuntu, або його дзеркала, ймовірно, ви не повинні встановлювати пакет і негайно повідомити про помилку.

Що стосується ISO, вам потрібно буде перевірити хеші контрольної суми, що є на офіційних серверах Ubuntu.

— добій
джерело

@ dobey: Дякую за інформацію. Було б добре, якщо проект Ubuntu надає оновлений список надійних дзеркал; зокрема, я хотів би дізнатися, чи були дзеркала в моїй країні проживання проходить сертифікацію як довірена проектом Ubuntu.

— n00b

Якщо ви дбаєте про безпеку / стабільність, вам, ймовірно, не слід додавати PPA. Пакети в них підписані, але справжніх гарантій з ними взагалі немає.

— добі

Я не знаю, чи дзеркальні сервери перевіряють підписи GPG і контрольні суми пакетів чи ні. Програмне забезпечення на локальній основі у вашій системі перевіряє підписи GPG.

— добі

you should probably not install the package, and immediately report a bug about it. Я думаю, що бігти apt-get update, спробувати ще раз, тоді повідомити про помилку - це кращий підхід. Іноді, якщо з'єднання перерветься під час, apt-get updateви отримаєте таке ж попередження, якщо спробуєте встановити пакет перед оновленням ще раз.

— День

@Задайте попередження під час оновлення інформації про пакунки, а не встановлення пакетів. Йдеться про встановлення пакетів.

— добі