Как я могу быть уверенным, что обновленные пакеты не скомпрометированы?

6

При попытке установить tmux я получаю сообщение об ошибке Untrusted packages could compromise your system's security , похожее на ситуацию в этот поток . Я побежал aptitude update , и пакет был установлен без проблем, но я обеспокоен тем, что обновление, возможно, было скомпрометировано. Моя забота об улучшении, поскольку я вижу, что обновление было выполнено без SSL (http-адрес):

 - neptune():~$ sudo aptitude update
Ign http://il.archive.ubuntu.com quantal InRelease
Ign http://il.archive.ubuntu.com quantal-updates InRelease
Ign http://il.archive.ubuntu.com quantal-backports InRelease
Get: 1 http://il.archive.ubuntu.com quantal Release.gpg [933 B]
Get: 2 http://il.archive.ubuntu.com quantal-updates Release.gpg [933 B]
Get: 3 http://il.archive.ubuntu.com quantal-backports Release.gpg [933 B]
Hit http://il.archive.ubuntu.com quantal Release
Get: 4 http://il.archive.ubuntu.com quantal-updates Release [49.6 kB]
Ign http://security.ubuntu.com quantal-security InRelease
Ign http://archive.canonical.com quantal InRelease
Ign http://extras.ubuntu.com quantal InRelease
Ign http://dl.google.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease
Ign http://deb.opera.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease

EDIT: Теперь мне стало известно, что нацеленный на атаку израильских сайтов 7 апреля уже начался. Поэтому возникает повышенное подозрение на взломанный сервер. Я мог бы найти больше информации об атаке, если это необходимо, хотя я не вижу большого упоминания об этом на широко распространенных англоязычных новостных сайтах.

Уточнение: Я спрашиваю, как обеспечить, чтобы то, что я уже загрузил и установил , не был скомпрометирован. Я не спрашиваю, как Canonical обеспечивает безопасность репозиториев.

    
задан dotancohen 05.04.2013 в 15:50
источник

2 ответа

3

Я не могу рассказать вам, как вы это делаете для пакетов all , но вот возможная процедура для отдельных пакетов.

Предупреждение . Сайт, который я предлагаю использовать, (как ни странно) не поддерживает Ссылка , поэтому вы не можете быть уверены, что действительно разговариваете с правильным сайтом, который делает проверку гораздо менее полезной, чем ожидалось, - отметил Элиа Каган в комментарии.

  1. посетите packages.ubuntu.com
  2. выберите свой дистрибутив
  3. выберите «все пакеты» (вниз внизу)
  4. загляните в /var/cache/apt/archives и выберите подозрительные пакеты (например, те, у кого есть недавняя дата).
  5. запустите sha256sum против этого пакета
  6. выберите этот пакет на веб-сайте, вы получите
  7. нажмите ссылку ниже Архитектура .
  8. сравнить результат с шага 5 с опубликованным значением.
ответ дан guntbert 05.04.2013 в 21:15
источник
2

Не беспокойтесь.

Как объяснил Элия в его комментарий , APT защищен с использованием GnuPG. Открытые ключи для архивов Ubuntu установлены в вашей системе, и вы должны их проверить. После каждой загрузки файл будет проверен на целостность подписи GPG / PGP, и, таким образом, вы можете быть уверены, что никто не вмешался. В случае сбоя, вы увидите точное предупреждение, которое вы получили в первую очередь.

Более подробное объяснение, как найти и проверить ключи описано здесь: Вики-страница сообщества Ubuntu: SecureApt

Использование SSL не сделает его более безопасным. Единственное, что вы будете скрывать для всех сверстников между вами и сервером архива, - это , что вы переносите / загружаете, и он больше не защитит целостность .

    
ответ дан gertvdijk 08.04.2013 в 23:27