Як розпізнати шкідливі пакети AUR

11

Як я можу розпізнати, чи може пакет, встановлений через yaourt на аркуші Linux, завдати шкоди моєму ПК? Я прочитав у вікі, що я повинен перевірити кожну установку, яку я роблю з вами. Але що саме я повинен перевірити і як розпізнати шкідливі пакети?

arch-linux  security  yaourt 
lup3x
джерело
Ви повинні використовувати офіційні пакети без AUR. Гарантії немає, оскільки кожен може завантажити що-небудь на AUR, потрібна лише реєстрація. Перевірте коментарі та голоси AUR-пакетів, можливо, це хороша відправна точка.
uzsolt
Інструкція з wiki - прочитати PKGBUILD, перш ніж продовжувати встановлення ...
jasonwryan
3
@uzsolt Це дуже смішно: в AUR дуже багато чудових пакетів, деякі з яких були перенесені з офіційних репостів. Використання пакетів AUR, в принципі, добре; що важливо - розуміння того, що ви встановлюєте.
jasonwryan
1
Це безсумнівно, але як хтось може знати, що aur-fooупаковка шкідлива чи ні. Чи існує загальне правило або алгоритм? Я думаю, ні. І читання PKGBUILD недостатньо - думаю, встановить шкідливу C-програму. Читаєте ви повний вихідний код перед встановленням? Думаю, слід перевірити коментарі (щодо звітів, попереджень) та голосів (якщо є багато-багато голосів, це здається не так вже й погано). Я використовую багато пакетів AUR, і я думаю, що більшість із них є хорошими. Але ... диявол ніколи не спить :)
uzsolt

Відповіді:

7

Не можна, не дуже, не виконавши обширний аудит коду і дотримуючись його в дії "ззовні", наприклад, використовуючи віртуальну машину. Не існує бронезахисного способу пошуку шкідливих пакетів, і, звичайно, немає автоматизованого способу, який не можна було б обійти відносно легко. Деякі речі ви реально можете зробити, жодна з яких не є срібними кулями:

  • Завантажте пакет, розпакуйте його ( не встановлюйте його!) Та запустіть перевірку вірусу на розпакованих файлах. Це може знайти деякі відомі проблеми, але не цільові або спеціальні хаки.
  • Перш ніж використовувати його, встановіть його на віртуальній машині і переконайтеся, що він не робить нічого "підозрілого", наприклад, торкатися файлів, яких він не повинен, спілкуватися із сторонніми серверами, самостійно запускати демон-процеси тощо. Звичайно, це може робити такі речі вчасно, наприклад, після запуску протягом X годин, і без детальної перевірки коду ви цього не знаєте. Детектори Rootkit можуть дещо з цього автоматизувати.
  • Встановити в обмеженому середовищі. SELinux, в'язниці chroot, віртуальні машини, окремі відключені машини та багато інших речей можуть містити різні типи проблемного програмного забезпечення, від простого поганого до активно шкідливого.
  • Цінні (але не секретні) дані можуть бути розміщені на окремих серверах із доступом, що надається лише для читання, що надається ненадійній машині.
  • Таємні дані слід розміщувати на машині, недоступній для ненадійної машини. Будь-яка комунікація повинна бути копією вручну через знімні носії.

Нарешті, єдине захищене програмне забезпечення - це не програмне забезпечення. Ви впевнені, що вам потрібно встановити програмне забезпечення, якому ви не довіряєте? Хіба немає відомої, довіреної альтернативи?

l0b0
джерело
Ну я просто слідкував за записами у вікі для xflux та сонця JDK. Чи є вашим посібником для кожного запису AUR чи я можу довіряти пакункам, які містять велику статтю wiki.archlinux?
lup3x
4
Ніхто не може сказати вам, кому довіряти. Ніхто не знає, кому довіряти. Все, що ви можете зробити, - це зробити виклик судження на основі власного досвіду, поради людей, яким ви довіряєте, популярності пакету чи будь-якого іншого евристичного, який ви вважаєте достатнім.
l0b0
Дякую, я маю це на увазі під час встановлення нових пакетів
lup3x
2
Я не впевнений, чи довіряти порадам @ l0b0.
Sparhawk
1
@Sparhawk Добре, ми все-таки в Інтернеті, і кому довіряти, це має бути особистим рішенням.
l0b0
3

Як згадувалося раніше, ви не можете точно знати.

Однією з основних евристик, якими я особисто користуюся, є:

Якщо я збирався спробувати встановити це вручну, я все одно завантажував би його з spotify.com, так що це добре в моїх книгах. Короткий пробіг прочитав решту PKGBUILD, і, здається, він не робить нічого очевидно незвичного. Звичайно, існують способи бути підступними, але я думаю, що головною ціллю для будь-якого шкідливого коду на AUR будуть люди, які використовують yaourt і т. Д., Які зазвичай не читають PKGBUILD перед тим, як встановити програмне забезпечення, і не помітять проблеми, навіть якщо це було очевидно .

kellpossible
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.