Как Ubuntu обеспечивает безопасность пакетов и ISO-образов с зеркал?
Мое текущее местоположение находится в тысячах километров от главного сервера Ubuntu, и я обязан использовать одно из его зеркал в моей стране постоянного проживания.
Осуществляют ли владельцы Ubuntu меры по периодической проверке своих файлов (например, ISO, обновлений, исправлений безопасности) на своих зеркальных сайтах, не были ли подделаны и / или хакеры не внедрили вредоносные программы / трояны?
[ 112] Мой личный опыт установки и обновления Ubuntu с главного сервера занял не менее двух часов, тогда как тот же процесс занял всего 10–15 минут, когда я использовал зеркальный сайт Ubuntu, доступный в моей стране.
1 ответ
Пакеты в архиве Ubuntu подписаны ключом GPG, который не обязательно должен иметь каждый, кто пытается заменить код на зеркале. Можно было бы подделать подписанный пакет, но это не так просто.
Как правило, вы можете доверять пакетам, подписанным этими ключами GPG. При обновлении через update-manager или apt вы будете предупреждены, когда пакеты не подписаны с помощью ключа, который находится в системном наборе ключей пакета apt. Вам придется вручную принять установку таких пакетов. Если вы видите это предупреждение для пакета, поступающего из официального архива Ubuntu, или его зеркала, вам, вероятно, не следует устанавливать пакет и немедленно сообщать об ошибке об этом.
Для ISO вам нужно будет проверить хэши контрольных сумм с тем, что находится на официальных серверах Ubuntu.