jwa*_*wal 25 security do-release-upgrade
我试图了解这个do-release-upgrade过程,即 Ubuntu 提示我升级到下一个春季或秋季 Ubuntu 版本的方式。
阅读源代码后,ubuntu-release-upgrader我在我的系统上找到了/etc/update-manager/meta-release文件。此文件似乎使用 HTTP URL 指向http://changelogs.ubuntu.com/meta-release,其中列出了从 Warty 04.10 到 Raring 13.04 的各种 Ubuntu 版本。该文件列出了版本、它们的支持状态、发布日期并提供了指向该Release文件的链接。
现在该Release文件具有相应的 GPG 签名和Packages文件的 sha1sum,而该文件又具有安装的各个 DEB 二进制文件的 sha1sum。最近的版本也有升级脚本和相应的 GPG 签名。一切听起来都不错。
我的问题是关于meta-release文件本身。它不是通过 HTTPS 提供的,我找不到它的 GPG 签名。如果有人替换了这个文件,他们会不会以某种方式导致我的机器升级......
小智 1
do-release-upgrade 需要管理员权限,如果您使用的是 LTS 版本,则会保留该版本,不会自动升级版本。如果您使用非官方来源,它会显示一堆警告消息。
然而,对于最终用户来说,GUI 变体与 Windows 上的 UAC 没有什么不同,任何没有足够技术头脑的人都只需单击按钮或输入密码,忽略警告,然后去泡一杯茶。因此,实际上,它的安全性并不比 Windows Update 更高或更低。
简而言之 - 我不相信升级是安全的。事实上,如果您使用的是 LTS 并使用 Ubuntu 来处理关键任务,我会避免升级主要版本,直到不再支持您的版本 - 升级确实会以微妙的方式破坏东西,这需要您花时间来修复。
Reg*_*ser -1
只有管理员可以对电脑中的文件进行永久更改。来宾用户无法更改这些(或任何其他)文件。因此,除了管理员本人之外,没有人可以导致更新管理器查找某些可能有害的链接。
现在,管理员不会损坏自己的电脑(除非他疯了)。而且永远不应该让任何第三方访问管理员权限。所以几乎没有风险。
简而言之,“某人”无法更改此文件。只有管理员可以更改文件。
这个过程肯定会更安全。也许软件更新程序可以加密这些文件并使用 gpg 密钥
最后,Ubuntu 每周新闻通讯让您了解最新的更新/升级。您可以从中确认,以便最大限度地确保您的电脑安全。
| 归档时间: |
|
| 查看次数: |
1007 次 |
| 最近记录: |