Я пытаюсь понять do-release-upgrade
процесс, то есть способ, которым Ubuntu побуждает меня перейти к следующей версии Ubuntu весной или осенью.
После прочтения исходных текстов ubuntu-release-upgrader
я обнаружил файл / etc / update-manager / meta-release в моей системе. Этот файл использует URL-адрес HTTP для указания на http://changelogs.ubuntu.com/meta-release, где перечислены различные выпуски Ubuntu от Warty 04.10 до Raring 13.04. Этот файл содержит список выпусков, их статус поддержки, дату выпуска и ссылку на Release
файл.
Теперь у Release
файла есть соответствующая подпись GPG и sha1sum Packages
файла, который, в свою очередь, имеет sha1sum отдельных двоичных файлов DEB, которые устанавливаются. В последних выпусках также есть скрипт обновления и соответствующая подпись GPG. Все звучит хорошо.
Мой вопрос о самом meta-release
файле. Он не обслуживается по протоколу HTTPS, и я не могу найти для него подпись GPG. Если кто-нибудь заменит этот файл, он может каким-то образом заставить мою машину обновиться ...
- ... к подписанному выпуску, который еще не прошел тестирование безопасности?
- ... к старому выпуску, который не поддерживается и имеет незафиксированные уязвимости безопасности?
UpgradeToolSignature
он все еще существует, поэтому он будет обновляться только с помощью инструмента, подписанного Canonical (но да, это не устраняет возникшие у вас проблемы).Ответы:
Для do-release-upgrade требуются права администратора, и если вы используете LTS-версию, она останется на этом и не повысит вашу версию автоматически. Если вы используете неофициальные источники, это вызывает кучу предупреждающих сообщений.
Однако варианты графического интерфейса пользователя для конечного пользователя ничем не отличаются от UAC в Windows, где любой, кто недостаточно технически настроен, просто нажмет кнопку или введет пароль, проигнорирует предупреждения и уйдет на чашку чая. Так что на практике это не более или менее безопасно, чем Windows Update.
Короче говоря - я бы не поверил, что обновление будет безопасным На самом деле, если вы работаете в LTS и используете Ubuntu для критически важных задач, я бы не стал обновлять основную версию до тех пор, пока ваша версия больше не будет поддерживаться - обновление действительно ломает вещи тонкими способами, которые требуют времени для исправления.
источник
Только администратор может вызвать постоянные изменения файлов на ПК. Гостевые пользователи не могут изменять эти (или любые другие) файлы. Никто, кроме самого администратора, не может заставить менеджер обновлений искать какую-либо потенциально опасную ссылку.
Теперь администратор не сможет повредить свой собственный компьютер (если он не в своем уме). И никогда не следует позволять третьим лицам получать доступ к правам администратора. Так что риска практически нет.
Короче говоря, « кто-то » не может изменить этот файл. Только администратор может вносить изменения в файлы.
Наконец, еженедельная новостная рассылка Ubuntu информирует вас о последних обновлениях / обновлениях. Вы можете подтвердить это, чтобы обеспечить максимальную безопасность вашего компьютера.
источник