第三方 Ubuntu (APT) 儲存庫鏡像的安全性如何

我們使用本地 Ubuntu 儲存庫鏡像，因為我們的外部流量不是免費的。每當我apt-get install "program"從該儲存庫中獲取它時。

問題是……儲存庫的維護者可以用他們自己的包替換儲存庫中的任何包嗎？

我可以很容易地在任何apt-get upgradeorapt-get install或上被黑客入侵apt-get dist-upgrade嗎？

我們從本地 Ubuntu 鏡像中獲得非常基本的軟體包，例如“telnet”或任何其他。

雖然有很多機制可以保護 repo，包括包簽名等，但它們的安全性取決於維護者的安全性。一個管理不善的第三方儲存庫被黑客入侵或由惡意個人執行，確實可以安裝惡意軟體。

不。

所有包和索引（Packages.gz、Sources.gz、…）都應該使用 GPG 密鑰進行簽名。apt 還使用 md5sum 來驗證它是否下載了 Packages 索引文件的正確副本。

如果有人替換或修改了一個包，該包將不再匹配 GPG 標誌。

引用自：https://serverfault.com/questions/237774