我当前的位置距离 Ubuntu 的主服务器数千公里,我不得不在我的居住国使用它的一个镜像。
Ubuntu 的所有者是否采取措施定期检查其镜像站点上的文件(例如 ISO、更新、安全补丁)没有被篡改和/或黑客没有引入恶意软件/木马?
我个人从主服务器安装和更新 Ubuntu 的经验至少需要两个小时,而当我使用我所在国家/地区可用的 Ubuntu 镜像站点时,同样的过程只需要 10 到 15 分钟。
dob*_*bey 18
Ubuntu 存档中的软件包使用 GPG 密钥进行签名,任何试图替换镜像上的代码的人都不一定拥有该密钥。伪造一个签名的包是可能的,但这样做并不容易。
您通常可以信任使用这些 GPG 密钥签名的包。更新时,update-manager否则apt当软件包未使用系统 apt 软件包密钥环中的密钥进行签名时,您将收到警告。您必须手动接受此类软件包的安装。如果您看到来自官方 Ubuntu 存档或其镜像的软件包的此警告,您可能不应该安装该软件包,并立即报告有关它的错误。
对于 ISO,您需要使用官方 Ubuntu 服务器上的内容验证校验和哈希。