Как Ubuntu обеспечивает безопасность пакетов и ISO-образов с зеркал?

22

Мое текущее местоположение находится в тысячах километров от главного сервера Ubuntu, и я обязан использовать одно из его зеркал в моей стране проживания.

Осуществляют ли владельцы Ubuntu меры по периодической проверке своих файлов (например, ISO, обновлений, исправлений безопасности) на своих зеркальных сайтах, не были ли подделаны и / или хакеры не внедрили вредоносные программы / трояны?

Мой личный опыт установки и обновления Ubuntu с основного сервера занял не менее двух часов, тогда как тот же процесс занял всего 10–15 минут, когда я использовал зеркальный сайт Ubuntu, доступный в моей стране.

mirrors n00b
источник
11
@ вниз избирателей: плз объяснить, почему вы проголосовали в коротком комментарии; во всяком случае, я бы посчитал этот вопрос хотя бы попыткой выразить законную озабоченность. Если у вас есть основания полагать, что об этом не нужно беспокоиться, объясните, пожалуйста, почему. Спасибо.
сумасшедший о Natty
9
Закрыть избиратель (и): Это не по теме. Он мог бы извлечь выгоду из некоторой доработки - в сущности, ничто в мире не защищено от хакеров и взлома. Но вопрос с просьбой , какие меры безопасности принимаются в рамках проекта Ubuntu , чтобы контролировать безопасность зеркал, которые обслуживаются другими - а именно это просит - это хороший (как в целом, так и для нашего сайта в соответствии с FAQ).
Элия ​​Каган,
Я переименовал это, чтобы быть более общим, что должно касаться вопросов в вопросе.
Хорхе Кастро
1
Связанное чтение: askubuntu.com/questions/56509/…
2
Для ISO, я думаю, вы можете выполнить проверку MD5-хеша на ISO, загруженном с зеркала, на MD5, полученный от родителя. Поскольку это тот же ISO, он должен иметь тот же MD5, что и на родительском сайте.
Ахмаджо

Ответы:

16

Пакеты в архиве Ubuntu подписаны ключом GPG, который не обязательно должен иметь каждый, кто пытается заменить код на зеркале. Можно было бы подделать подписанный пакет, но это не так просто.

Как правило, вы можете доверять пакетам, подписанным этими ключами GPG. При обновлении через update-managerили aptвы будете предупреждены, когда пакеты не подписаны с помощью ключа, который находится в системном наборе ключей пакета apt. Вам придется вручную принять установку таких пакетов. Если вы видите это предупреждение для пакета, поступающего из официального архива Ubuntu, или его зеркала, вам, вероятно, не следует устанавливать пакет и немедленно сообщать об ошибке.

Для ISO вам нужно будет проверить хэши контрольных сумм с тем, что находится на официальных серверах Ubuntu.

Добей
источник
1
@ Доби: Спасибо за информацию. Было бы хорошо, если бы проект Ubuntu предоставил обновленный список доверенных зеркал; в частности, я хотел бы узнать, были ли зеркала в моей стране постоянного проживания сертифицированы как проект Ubuntu.
n00b
1
Если вы заботитесь о безопасности / стабильности, вам, вероятно, не следует добавлять PPA. Пакеты в них подписаны, но с ними вообще нет никаких реальных гарантий.
Добей
1
Я не знаю, проверяют ли зеркальные серверы подписи GPG и контрольные суммы пакетов или нет. Однако локально запускаемое программное обеспечение в вашей системе проверяет подписи GPG.
Доби
1
you should probably not install the package, and immediately report a bug about it, Я думаю apt-get update, что работает , попробуйте еще раз, а затем сообщить об ошибке, это лучший подход. Иногда, если соединение разрывается во время, apt-get updateвы также получите такое же предупреждение, если попытаетесь установить пакет перед обновлением.
Дан
1
@ Дан предупреждения в это время при обновлении информации о пакете, а не при установке пакетов. Это об установке пакетов.
Добей