Які сховища Ubuntu повністю безпечні та не містять зловмисних програм?


13

Я читав у новинах про всі шкідливі програми, які заражають ОС Android. Зловмисне програмне забезпечення є в App Store Google, і люди несвідомо завантажують його та встановлюють його.

Як я розумію, основне сховище Ubuntu для мене безпечно для завантаження (я не буду заражений шкідливим програмним забезпеченням), оскільки інженери Canonical переглядають це програмне забезпечення. А як щодо інших репостів, особливо репозиторію Всесвіту? Чи отримує репортаж Всесвіту якийсь огляд для захисту від зловмисного програмного забезпечення? Чи доцільно уникати репортажу Всесвіту, боячись несвідомо завантажити з нього шкідливі програми?

Я читав, що PPA є особливо небезпечними, оскільки вони не переглядаються. Я припускаю, що користуватися Google Chrome PPA абсолютно безпечно.

Тож якщо я не буду використовувати нічого, окрім сховищ Main & Universe та Google Chrome PPA, чи буду я захищений від несвідомої завантаження зловмисного програмного забезпечення?

Якщо Ubuntu набере сотні мільйонів користувачів, як прогнозує Марк Шуттлворт, чи не PPA Ubuntu стануть проблемою зловмисного програмного забезпечення для Ubuntu, як Google Store App Store сьогодні для Android?


4
Ви ніби задаєте кілька запитань. Цей сайт краще працює з одним питанням за раз. Ви можете переписати своє запитання на одне запитання або розділити його на кілька запитань.
NN

Ну, спочатку Android = / = Ubuntu, тоді, якщо ви додаєте PPA, ви знаєте причину, чому ви це робите, тому ви знаєте, що в ньому, тому ОС настільки безпечна, поки ви знаєте, що встановлюєте.
Урі Еррера

ви можете довіряти всі пакети, які вони не будуть зламати ваш комп’ютер, або нанести шкоду.
Альвар

Відповіді:


19

Усі офіційні сховища Ubuntu (що охоплюють все, що ви можете знайти на archive.ubuntu.comдзеркалах, а також деякі інші) повністю кураторські. Це означає main, restricted, universe, multiverse, а також -updatesі -security. Усі пакунки там або надходять від Debian (і так їх завантажив розробник Debian), або були завантажені розробником Ubuntu; в обох випадках пакет, який завантажується, засвідчується підписом gpg, що завантажує файл.

Отже, ви можете довіряти, що кожен пакет в офіційних архівах був завантажений розробником Debian або Ubuntu. Крім того, пакунки, які ви завантажуєте, можуть бути перевірені підписами gpg на файлах у сховищі, тож ви можете довіряти, що кожен завантажений вами пакет був побудований на фермі збірки Ubuntu з джерела, який завантажив розробник Ubuntu або Debian¹.

Це робить шкідливе програмне забезпечення очевидним - хтось у довірі повинен буде завантажити його, і завантаження буде легко простежити до них.

Це залишає питання про більш приховану нечесність. Розробники вгору за течією могли поставити заднім куточком інше корисне програмне забезпечення, яке може перетворити його в архів - в universeабо multiverseзалежно від ліцензії. Люди проводять перевірки безпеки архіву Debian, тож якщо це програмне забезпечення стане популярним, швидше за все, буде виявлено задній простір.

У пакеті mainє додаткова перевірка та отримуйте більше любові від команди безпеки Ubuntu.

ЗОЗ майже нічого цього не мають. Гарантія, яку ви отримуєте від PPA, полягає в тому, що завантажувані вами пакети були побудовані на інфраструктурі побудови Ubuntu і були завантажені особою, що має доступ до одного з ключів GPG облікового запису Launchpad перерахованого завантажувача. Немає гарантії, що завантажувач - це той, про кого вони кажуть - кожен може зробити "Google Chrome PPA". Вам потрібно визначити довіру якось іншим способом до УПД.

¹: Ця ланцюжок довіри може бути розірвана шляхом значного вторгнення в інфраструктуру Ubuntu, але це справедливо для будь-якої системи. Компроміс gpg-ключа розробника також дозволить чорному капелюху завантажувати пакети в архів, але оскільки архів надсилає електронні листи завантажувачу кожного пакету, це слід помітити швидко.


Слід зазначити, що Google все ж підтримує репо Google Chrome, а Google є досить надійною компанією.
Томас Бокслі

@ThomasBoxley XD
соло

@Solo lmao Я повертаю це в ретроспективі.
Томас Бокслі

8

Всі пакети у сховищах Ubuntu перед завантаженням перевіряються та переглядаються MOTU (майстрами Всесвіту). МОТУ - це відважні душі, які підтримують форму Всесвіту та Мультиверсу Убунту. Вони є членами спільноти, які витрачають свій час на додавання, максимальну підтримку та підтримку програмного забезпечення, знайденого у Всесвіті. Тому немає жодних шансів, що ці пакунки вберуться на ваш комп'ютер і вкрадуть ваші дані. Однак у цих пакетах можуть бути помилки безпеки, які виявляються недоліками в програмному забезпеченні. Також деякі програмні засоби, що містять захист, доступні в Ubuntu (наприклад, реєстратори ключів), але ці пакети не крадуть ваші дані (якщо хтось навмисно не встановив їх на вашому комп'ютері).

Сподіваюсь, це допомагає. Для отримання додаткової інформації див. Сторінку вікі Ubuntu MOTU .


2

Перебування в сховищах Main і Universe дуже безпечно, і так само, як і PPA, вони особливо популярні (більшість часу) або знаєте, що вони будуть безпечними (як, наприклад, Google Chrome PPA. Сумніваюсь, Google би вкладайте в нього будь-який тип зловмисного програмного забезпечення.) Якщо ви використовуєте Main, Universe та Google Chrome PPA, ви будете в безпеці.

Якщо Ubuntu набере багато користувачів, то так, мабуть, буде більше шкідливих програм. Я не думаю, що було б достатньо, щоб бути справжньою проблемою.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.