Come riconoscere i pacchetti AUR dannosi

11

Come riconosco se un pacchetto installato tramite yaourt su arch linux potrebbe essere dannoso per il mio PC? Ho letto nel wiki che dovrei controllare ogni installazione che faccio con te. Ma cosa devo controllare esattamente e come riconosco i pacchetti dannosi?

arch-linux  security  yaourt 
lup3x
fonte
È necessario utilizzare pacchetti ufficiali senza AUR. Non c'è garanzia perché chiunque può caricare qualsiasi cosa su AUR, è necessaria solo una registrazione. Controlla i commenti e i voti dei pacchetti AUR, forse è un buon punto di partenza.
sciopero
L'istruzione wiki è di leggere il PKGBUILD prima di procedere con l'installazione ...
jasonwryan,
3
@uzsolt È un po 'ridicolo: ci sono molti fantastici pacchetti nell'AUR, alcuni dei quali sono stati spostati dai repository ufficiali. L'uso dei pacchetti AUR, in linea di principio, va bene; l'importante è capire cosa stai installando.
Jasonwryan,
1
È senza dubbio, ma come si fa a sapere che il aur-foopacchetto è dannoso o no. Esiste una regola generale o un algoritmo? Penso di no. E la lettura di PKGBUILD non è abbastanza - pensa che installerà un programma C dannoso. Leggi il codice sorgente completo prima dell'installazione? Penso che dovrebbe controllare i commenti (su relazioni, avvertenze) e i voti (se ci sono molti voti non sembra poi così male). Sto usando molti pacchetti AUR e penso che molti di questi siano buoni. Ma ... il diavolo non dorme mai :)
sciopero

Risposte:

7

Non puoi, davvero, senza fare un controllo approfondito del codice e osservarlo in azione "dall'esterno", ad esempio utilizzando una macchina virtuale. Non esiste un modo antiproiettile per trovare pacchetti dannosi e certamente non esiste un modo automatizzato che non possa essere eluso relativamente facilmente. Alcune cose che puoi realisticamente fare, nessuna delle quali sono proiettili d'argento:

  • Scarica il pacchetto, scompattalo ( non installarlo!) Ed esegui un controllo antivirus sui file decompressi. Questo può trovare alcuni problemi noti, ma non hack mirati o personalizzati.
  • Prima di usarlo, installalo su una macchina virtuale e controlla che non faccia nulla di "sospetto", come toccare i file che non dovrebbe, comunicare con server esterni, avviare processi daemon da solo, ecc. Naturalmente, potrebbe fare cose del genere a tempo, ad esempio dopo aver eseguito per X ore, e non c'è modo che tu possa sapere senza un'ispezione dettagliata del codice. I rilevatori di rootkit possono automatizzare parte di questo.
  • Installa in un ambiente limitato. SELinux, chroot jail, macchine virtuali, macchine separate disconnesse e molte altre cose possono contenere diversi tipi di software problematico, dal semplice male al malevolo attivo.
  • I dati preziosi (ma non segreti) possono essere posizionati su server separati con accesso di sola lettura dato alla macchina non attendibile.
  • I dati segreti devono essere posizionati su una macchina che non è raggiungibile dalla macchina non attendibile. Qualsiasi comunicazione deve essere una copia manuale tramite supporto rimovibile.

Infine, l'unico software sicuro è nessun software. Sei sicuro di dover installare software di cui non ti fidi? Non esiste alternativa ben nota e affidabile?

l0b0
fonte
Bene, ho appena seguito le voci wiki per xflux e il sole JDK. È la tua guida per ogni voce dell'AUR o posso fidarmi dei pacchetti che hanno un ampio articolo wiki.archlinux?
lup3x,
4
Nessuno può dirti di chi fidarti. Nessuno sa di chi fidarsi. Tutto quello che puoi fare è fare una richiesta di giudizio basata sulla tua esperienza, sul consiglio delle persone di cui ti fidi, sulla popolarità del pacchetto o su qualsiasi altra euristica che ritieni sia sufficiente.
10
Grazie lo terrò a mente quando installerò nuovi pacchetti
lup3x
2
Non sono sicuro se fidarmi del consiglio di @ l0b0.
Sparhawk,
1
@Sparhawk Bene, dopo tutto siamo su Internet e chi si fida deve essere una decisione personale.
l0b0
3

Come accennato in precedenza, non puoi saperlo con certezza.

Una delle principali euristiche che uso personalmente sono:

Se avessi provato a installarlo manualmente lo avrei scaricato da spotify.com, quindi questo va bene nei miei libri. Una breve lettura del resto del PKGBUILD e non sembra fare nulla ovviamente insolito. Naturalmente ci sono modi per essere subdoli, ma penso che l'obiettivo principale di qualsiasi codice dannoso su AUR siano le persone che usano yaourt ecc. Che di solito non leggono il PKGBUILD prima di installare il software e non individuano il problema anche se fosse ovvio .

kellpossible
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.