Какие репозитории Ubuntu абсолютно безопасны и не содержат вредоносных программ?

13

Я прочитал в новостях обо всех вредоносных программах, которые заражают ОС Android. Вредоносная программа находится в магазине приложений Google, и люди по незнанию скачивают и устанавливают ее.

Как я понимаю, главный репозиторий Ubuntu для меня безопасен для загрузки (я не буду заражен вредоносным ПО от этого), потому что инженеры Canonical рассматривают программное обеспечение. Но как насчет других репозиториев, прежде всего репозитория Universe? Получает ли репозиторий Universe какие-либо обзоры для защиты от вредоносных программ? Целесообразно ли избегать репозитория Universe из-за боязни непреднамеренной загрузки с него вредоносных программ?

Я читал, что PPA особенно опасны, потому что они не рассматриваются. Я предполагаю, что использовать Google Chrome PPA совершенно безопасно.

Так что, если я использую только репозитории Main & Universe и Google Chrome PPA, буду ли я защищен от непреднамеренной загрузки вредоносных программ?

Если Ubuntu действительно получит сотни миллионов пользователей, как предсказывает Марк Шаттлворт, не станет ли Ubuntu PPA проблемой вредоносного ПО для Ubuntu, как Google App Store сегодня для Android?

repository Ник
источник
4
Вы, кажется, задаете несколько вопросов. Этот сайт лучше работает с одним вопросом за раз. Возможно, вы захотите переписать свой вопрос на один вопрос или разбить его на несколько вопросов.
NN
Ну, во-первых, Android = / = Ubuntu, затем, если вы добавляете PPA, вы знаете причину, по которой вы это делаете, поэтому вы знаете, что в нем, поэтому операционная система настолько безопасна, насколько вы знаете, что вы устанавливаете.
Ури Эррера
Вы можете доверять всем пакетам, чтобы они не взломали ваш компьютер или не повредили ему.
Алвар

Ответы:

19

Все официальные репозитории Ubuntu (включая все, что вы можете найти на archive.ubuntu.comзеркалах или на его зеркалах, а также некоторые другие) полностью курированы. Это означает main, restricted, universe, multiverse, а также -updatesи -security. Все находящиеся там пакеты либо пришли из Debian (и поэтому были загружены разработчиком Debian), либо были загружены разработчиком Ubuntu; в обоих случаях загружаемый пакет аутентифицируется подписью gpg загрузчика.

Поэтому вы можете быть уверены, что каждый пакет в официальных архивах был загружен разработчиком Debian или Ubuntu. Кроме того, загружаемые вами пакеты могут быть проверены сигнатурами gpg на файлах в репозитории, поэтому вы можете быть уверены, что каждый загруженный пакет был собран в ферме сборки Ubuntu из источника, который был загружен разработчиком Ubuntu или Debian¹.

Это делает маловероятным вредоносное ПО маловероятным - кому-то из доверенных лиц потребуется загрузить его, и его можно будет легко отследить.

Это оставляет вопрос о более тайном гнусности. Upstream разработчики могли бы поставить бреши в противном случае полезное программное обеспечение , и они могли бы сделать это в архиве - в universeили multiverse, в зависимости от лицензии. Люди проводят аудит безопасности архива Debian, поэтому, если это программное обеспечение станет популярным, вероятно, будет обнаружен черный ход.

В пакетах mainесть дополнительная проверка и больше любви от команды безопасности Ubuntu.

У PPA почти ничего этого нет. Гарантия, которую вы получаете от PPA, заключается в том, что загружаемые вами пакеты были построены на инфраструктуре сборки Ubuntu и были загружены кем-то, имеющим доступ к одному из ключей GPG учетной записи Launchpad в списке загруженных файлов. Нет никакой гарантии, что загрузчик - это тот, кем они себя называют - любой может создать «Google Chrome PPA». Вам нужно определить доверие другим способом для PPA.

Ответ: Эта цепочка доверия может быть нарушена в результате обширного вторжения в инфраструктуру Ubuntu, но это верно для любой системы. Компрометация ключа gpg разработчика также позволит «черной шляпе» загружать пакеты в архив, но поскольку архив отправляет загрузчик каждого пакета по электронной почте, это следует заметить быстро.

RAOF
источник
Следует отметить, что Google поддерживает репозиторий Google Chrome, и Google является довольно надежной компанией.
Томас Боксли
@ThomasBoxley XD
Solo
@ Solo lmao Я забираю это в ретроспективе.
Томас Боксли
8

Все пакеты в репозиториях Ubuntu перед загрузкой проверяются и проверяются MOTU (Мастерами Вселенной). MOTU - это смелые души, которые поддерживают вселенную и мультивселенные компоненты Ubuntu в форме. Они являются членами сообщества, которые тратят свое время на добавление, поддержание и поддержку в максимально возможной степени программного обеспечения, найденного во Вселенной. Поэтому нет никаких шансов, что эти пакеты проникнут на ваш компьютер и украдут ваши данные. Однако эти пакеты могут иметь ошибки безопасности, которые являются недостатками, обнаруженными в программном обеспечении. Также в Ubuntu доступно некоторое программное обеспечение для обеспечения безопасности (например, клавиатурные шпионы), но эти пакеты не украдут ваши данные (если кто-то намеренно не установит их на ваш компьютер).

Надеюсь это поможет. Смотрите Ubuntu вики-страницу MOTU для получения дополнительной информации.

Vibhav Pant
источник
2

Пребывание в репозиториях Main и Universe очень безопасно, как и PPA, если они особенно популярны (в большинстве случаев), или вы знаете, что они будут безопасными (например, Google Chrome PPA. Я сомневаюсь, что Google поместите в него вредоносные программы любого типа.) Если вы используете Main, Universe и Google Chrome PPA, вы будете в безопасности.

Если Ubuntu наберет массу пользователей, то да, вероятно, будет больше вредоносных программ. Я не думаю, что было бы достаточно, чтобы быть реальной проблемой, хотя.

Томас Боксли
источник