Как узнать, что мои системные обновления заслуживают доверия?

+1 к вашему ответу Malte D, zram - действительно хорошая идея для низких операционных систем.

Здесь +1 ваш ответ Malte D с английским описанием, где вы можете найти необходимую информацию об установке.

Я получил почти те же результаты на 6-летнем ноутбуке с Pentium M и 1 ГБ оперативной памяти!

И что касается меня («Samsung NP305U1A-A04» с 2 ГБ ОЗУ), он отлично работает!

1
задан 4 January 2013 в 17:14

2 ответа

Нет никаких SSL / https, о которых я знаю, и у вас нет центра сертификации за пределами вашего собственного компьютера.

Чтобы проверить наличие обновлений, ваш компьютер связывается с серверами, которые вы указали как ваши источники , Он загрузит индексный файл с этих серверов, используя обычный http. Эти индексные файлы подписаны, поэтому никто не может дать вам ложный индекс, но правильный файл может быть подан с любого компьютера, что позволяет легко использовать зеркала.

Используя этот индекс, ваш собственный компьютер рассчитает, какой новый пакеты его необходимо скачать. Опять же, пакеты будут восстановлены с использованием обычного http. Сумма md5 каждого пакета будет проверяться с помощью файла выпуска. Кроме того, также подписаны официальные пакеты репозиториев Ubuntu. Некоторые сторонние источники могут иметь неподписанные пакеты (но проверка md5 по-прежнему используется), когда это произойдет, программа установки (apt, Ubuntu Software Center, ...) предупредит вас.

Чтобы подвести итог, безопасность не находится на серверах или в соединениях, а в самих пакетах. Злоумышленник, врезавшийся в сервер обновлений, не может повредить ваш компьютер, но кто-то, кто может получить действительную подпись, может.

Вы можете найти более подробную информацию в объяснении безопасного apt здесь. Подводя итог: все пакеты имеют подпись GPG и apt доверяет те, которые были выпущены лицами, открытый ключ которых находится в apt keychain (/etc/apt/trusted.gpg)

4
ответ дан 25 May 2018 в 02:46
  • 1
    Незначительные детали: отдельные пакеты не подписываются, вместо этого контрольная сумма вычисляется по их содержимому (с использованием как SHA, так и MD5), и эти контрольные суммы находятся в подписанном индексном файле. Практический потенциал этого заключается в том, что меньше случайных коллекций почти рабочих пакетов, например, для RPM. – taneli 4 January 2013 в 18:53
  • 2
    Официальным репозиториям Ubuntu требуется, чтобы пакеты подписывались в дополнение к проверке суммы md5 против файла деблокирования. См. wiki.ubuntu.com/PackagingGuide/Complete . В репозитории возможно наличие неподписанных пакетов, но при установке они обычно отображают предупреждение. Я сделаю редактирование. – Javier Rivera 4 January 2013 в 21:25

Связанный ответ: помимо проверки подписей пакета на подлинность, вы можете сделать еще один шаг и убедиться, что системы полностью обновлены до последних применимых патчей безопасности с функцией отчета о соблюдении ландшафта.

It это круговая диаграмма, обновленная на месте, показывающая, сколько и какие системы по-прежнему уязвимы. Это, вероятно, слишком много для отдельного человека, но это часто задаваемые вопросы для крупных предприятий и малого бизнеса.

0
ответ дан 25 May 2018 в 02:46

Другие вопросы по тегам:

Похожие вопросы: