我如何确保更新的软件包没有受到损害?
尝试安装时tmux出现错误Untrusted packages could compromise your system's security,类似于此线程中的情况。我运行aptitude update并安装了软件包没有问题,但我担心更新可能已被破坏。当我看到更新是在没有 SSL(http 地址)的情况下完成时,我的担忧增强了:
- neptune():~$ sudo aptitude update
Ign http://il.archive.ubuntu.com quantal InRelease
Ign http://il.archive.ubuntu.com quantal-updates InRelease
Ign http://il.archive.ubuntu.com quantal-backports InRelease
Get: 1 http://il.archive.ubuntu.com quantal Release.gpg [933 B]
Get: 2 http://il.archive.ubuntu.com quantal-updates Release.gpg [933 B]
Get: 3 http://il.archive.ubuntu.com quantal-backports Release.gpg [933 B]
Hit http://il.archive.ubuntu.com quantal Release
Get: 4 http://il.archive.ubuntu.com quantal-updates Release [49.6 kB]
Ign http://security.ubuntu.com quantal-security InRelease
Ign http://archive.canonical.com quantal InRelease
Ign http://extras.ubuntu.com quantal InRelease
Ign http://dl.google.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease
Ign http://deb.opera.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease
编辑:我现在已经意识到4 月 7 日对以色列网站的针对性攻击已经开始。因此,人们越来越怀疑服务器受到威胁。如有必要,我可以找到有关这次攻击的更多信息,尽管我在广泛使用的英语新闻网站上没有看到太多提及。
澄清:我问的是如何确保我已经下载和安装的内容没有受到损害。我不是在问 Canonical 如何确保 repos 的安全性。
我无法告诉您如何对所有包执行此操作,但这是针对单个包的可能过程。
警告:我建议使用的网站(奇怪的是)还不支持https - 所以你不能确定你真的在与正确的网站交谈,这使得检查比预期有用得多 - 正如 Eliah Kagan 在评论中指出的那样。
- 访问packages.ubuntu.com
- 选择您的发行版
- 选择“所有包”(在底部)
- 查看
/var/cache/apt/archives并选择可疑包裹(例如日期最近的包裹) sha256sum针对该包运行 a- 在网站上选择该套餐,您将获得
- 单击“架构”下方的链接
- 将步骤 5 的结果与发布的值进行比较。
- 像这样手动检查软件包的哈希值不会让您变得更加安全——对于任何自动下载的软件包,APT 都会自动检查它们。并且 http://packages.ubuntu.com 不受 SSL 保护;如果您不信任 *GPG 签名* 的哈希值,为什么要信任从 HTTP 站点简单获取的哈希值? (5认同)
- @guntbert 但这仍然是验证包完整性或真实性的不安全方法。我已经删除了对该问题的评论(我不再确定这是重复的)。但这个答案仍然有一个严重的缺点,即它使用不受信任的通道来获取 sha256 哈希值。此外,通过将您的方法呈现为“过程”,您强烈建议这被广泛认为是一种安全方法。在某些情况下,这*可能*比什么都没有好,但是没有其他方法来检查它们吗?发射台?(这是受 HTTPS 保护的,并且是包*源自*的地方。) (3认同)