Como o Ubuntu garante que pacotes e ISOs de espelhos sejam seguros?

22

Minha localização atual fica a milhares de quilômetros do servidor principal do Ubuntu e sou obrigado a usar um de seus espelhos no meu país de residência.

Os proprietários do Ubuntu implementam medidas para verificar periodicamente seus arquivos (por exemplo, ISOs, atualizações, patches de segurança) em seus sites espelho não foram violados e / ou malware / trojans não foram introduzidos por hackers?

Minha experiência pessoal com a instalação e atualização do Ubuntu a partir do servidor principal levou pelo menos duas horas, enquanto o mesmo processo levou apenas 10 a 15 minutos quando eu usei o site espelho do Ubuntu disponível no meu país.

n00b
fonte
11
@ os que votam para baixo: explique por que você votou para baixo em um breve comentário; pelo menos, consideraria essa pergunta pelo menos um esforço para expressar uma preocupação legítima. Se você tem motivos para acreditar que não precisa se preocupar com isso, explique por que. Obrigado.
noz sobre natty
9
Fechar eleitor (es): Isso não é fora de tópico. Poderia se beneficiar de algum refinamento - afinal, nada no mundo é à prova de hackers e adulterações. Mas uma pergunta que pergunta quais medidas de segurança são tomadas pelo projeto Ubuntu para monitorar a segurança dos espelhos mantidos por outras pessoas - e é isso que está perguntando - é boa (tanto em geral quanto em nosso site, de acordo com o FAQ).
Eliah Kagan 26/03
Eu o retomei um pouco para ser mais geral, o que deve abordar os pontos da pergunta.
Jorge Castro
1
Leitura relacionada: askubuntu.com/questions/56509/…
2
Para ISOs, acho que você pode fazer a verificação de hash MD5 no ISO baixado do espelho em relação ao MD5 obtido do pai. Como é o mesmo ISO, deve ter o mesmo MD5 que no site pai.
Ahmadgeo 26/03

Respostas:

16

Os pacotes no arquivo do Ubuntu são assinados com uma chave GPG, que qualquer pessoa que tente substituir o código no espelho, não necessariamente possui. Seria possível forjar um pacote assinado, mas não é super trivial fazê-lo.

Geralmente, você pode confiar nos pacotes assinados com essas chaves GPG. Ao atualizar update-managerou aptvocê será avisado quando os pacotes não forem assinados com uma chave que está no sistema, com o chaveiro de pacotes do apt. Você precisará aceitar manualmente a instalação desses pacotes. Se você vir esse aviso para um pacote proveniente do arquivo oficial do Ubuntu, ou um espelho dele, provavelmente não deve instalar o pacote e imediatamente relatar um bug sobre ele.

Para ISOs, você precisará verificar os hashes de soma de verificação com o que está nos servidores oficiais do Ubuntu.

dobey
fonte
1
@ dobey: Obrigado pela informação. Seria bom se o Projeto Ubuntu fornecer uma lista atualizada de espelhos confiáveis; em particular, desejo descobrir se os espelhos no meu país de residência foram certificados como confiáveis ​​pelo The Ubuntu Project.
N00b 27/03
1
Se você se preocupa com segurança / estabilidade, provavelmente não deve adicionar PPAs. Os pacotes neles são assinados, mas não há garantias reais com eles, em geral.
Dobey
1
Não sei se os servidores espelho verificam ou não as assinaturas e somas de verificação GPG dos pacotes. O software executado localmente no seu sistema verifica as assinaturas GPG.
Dobey
1
you should probably not install the package, and immediately report a bug about it. Acho que em execução apt-get update, tente novamente e, em seguida, relate um bug é uma abordagem melhor. Às vezes, se a conexão for interrompida, apt-get updatevocê receberá o mesmo aviso se tentar instalar um pacote antes de atualizar novamente.
Dan
1
@ Os avisos nesse momento são durante a atualização das informações do pacote, não a instalação dos pacotes. Isso é sobre a instalação de pacotes.
Dobey