Ubuntu
第三方 Ubuntu (APT) 儲存庫鏡像的安全性如何
我們使用本地 Ubuntu 儲存庫鏡像,因為我們的外部流量不是免費的。每當我
apt-get install "program"
從該儲存庫中獲取它時。問題是……儲存庫的維護者可以用他們自己的包替換儲存庫中的任何包嗎?
我可以很容易地在任何
apt-get upgrade
orapt-get install
或上被黑客入侵apt-get dist-upgrade
嗎?我們從本地 Ubuntu 鏡像中獲得非常基本的軟體包,例如“telnet”或任何其他。
雖然有很多機制可以保護 repo,包括包簽名等,但它們的安全性取決於維護者的安全性。一個管理不善的第三方儲存庫被黑客入侵或由惡意個人執行,確實可以安裝惡意軟體。
不。
所有包和索引(Packages.gz、Sources.gz、…)都應該使用 GPG 密鑰進行簽名。apt 還使用 md5sum 來驗證它是否下載了 Packages 索引文件的正確副本。
如果有人替換或修改了一個包,該包將不再匹配 GPG 標誌。