In che modo Ubuntu garantisce che pacchetti e ISO dei mirror siano sicuri?

22

La mia posizione attuale è a migliaia di chilometri dal server principale di Ubuntu e sono obbligato a utilizzare uno dei suoi mirror nel mio paese di residenza.

I proprietari di Ubuntu implementano misure per controllare periodicamente i propri file (es. ISO, aggiornamenti, patch di sicurezza) nei loro siti mirror non sono stati manomessi e / o malware / trojan non sono stati introdotti dagli hacker?

La mia esperienza personale con l'installazione e l'aggiornamento di Ubuntu dal server principale è durata almeno due ore, mentre lo stesso processo ha richiesto solo 10-15 minuti quando ho usato il sito mirror Ubuntu disponibile nel mio paese.

mirrors 
n00b
fonte
11
@ gli elettori negativi: per favore spiega perché hai votato verso il basso in un breve commento; semmai considererei questa domanda almeno uno sforzo per esprimere una preoccupazione legittima. Se hai motivo di credere che non devi preoccuparti, ti preghiamo di spiegare perché. Grazie.
pazzo per il natty
9
Elettore / i vicino / i: questo non è fuori tema. Potrebbe trarre vantaggio da un certo raffinamento - praticamente nulla al mondo è a prova di hacker e manomissione, dopo tutto. Ma una domanda che chiede quali misure di sicurezza sono state prese dal progetto Ubuntu per monitorare la sicurezza dei mirror gestiti da altri - e questo è ciò che si sta chiedendo - è buona (sia in generale, sia per il nostro sito in conformità con le FAQ).
Eliah Kagan,
Ho ribattezzato un po 'di essere più generale che dovrebbe affrontare i punti della domanda.
Jorge Castro,
1
2
Per gli ISO, penso che potresti fare un controllo hash MD5 sugli ISO scaricati dal mirror contro l'MD5 ottenuto dal genitore. Poiché è lo stesso ISO, dovrebbe avere lo stesso MD5 del sito padre.
Ahmadgeo,

Risposte:

16

I pacchetti nell'archivio Ubuntu sono firmati con una chiave GPG, che chiunque abbia tentato di sostituire il codice sul mirror, non ha necessariamente. Sarebbe possibile creare un pacchetto firmato, ma non è banale farlo.

In genere puoi fidarti dei pacchetti firmati con queste chiavi GPG. Durante l'aggiornamento update-managero aptverrai avvisato quando i pacchetti non sono firmati con una chiave che si trova nel portachiavi del pacchetto apt di sistema. Dovrai accettare manualmente l'installazione di tali pacchetti. Se vedi questo avviso per un pacchetto proveniente dall'archivio Ubuntu ufficiale o un suo mirror, probabilmente non dovresti installare il pacchetto e segnalare immediatamente un bug al riguardo.

Per gli ISO, dovrai verificare gli hash di checksum con ciò che è presente sui server Ubuntu ufficiali.

Dobey
fonte
1
@ dobey: grazie per le informazioni. Sarebbe bello se The Ubuntu Project fornisse un elenco aggiornato di mirror affidabili; in particolare, vorrei scoprire se i mirror nel mio paese di domicilio sono stati certificati come affidabili da The Ubuntu Project.
n00b,
1
Se ti preoccupi della sicurezza / stabilità, probabilmente non dovresti aggiungere PPA. I pacchetti in essi contenuti sono firmati, ma non ci sono garanzie reali con loro, in generale.
dobey
1
Non so se i server mirror verificano o meno le firme GPG e i checksum dei pacchetti. Tuttavia, il software eseguito localmente sul sistema controlla le firme GPG.
Dobey,
1
you should probably not install the package, and immediately report a bug about it. Penso che correre apt-get update, riprovare e segnalare un bug sia un approccio migliore. A volte se la connessione si interrompe durante un apt-get updateerrore, si riceverà lo stesso avviso anche se si tenta di installare un pacchetto prima di eseguire nuovamente l'aggiornamento.
Dan
1
@Le avvertenze in quel momento sono durante l'aggiornamento delle informazioni sui pacchetti, non sull'installazione dei pacchetti. Si tratta dell'installazione di pacchetti.
Dobey,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.