Nic*_*ick 15 security repository malware
我在新闻中读到了有关感染 Android 操作系统的所有恶意软件的消息。该恶意软件位于 Google 的 App Store 中,人们正在不知不觉中下载并安装它。
据我了解,我可以安全地从 Ubuntu 的主存储库下载(这样做我不会感染恶意软件),因为 Canonical 工程师会审查该软件。但是其他存储库呢,尤其是 Universe 存储库呢?Universe 存储库是否接受任何形式的审查以防止恶意软件?是否建议避免使用 Universe 存储库,以免在不知不觉中从中下载恶意软件?
我读过 PPA 特别危险,因为它们没有经过审查。但是,我假设使用 Google Chrome PPA 是完全安全的。
因此,如果我只使用 Main & Universe 存储库和 Google Chrome PPA,我会不会在不知不觉中下载恶意软件?
如果 Ubuntu 确实像 Mark Shuttleworth 预测的那样获得了数亿用户,Ubuntu PPA 会不会成为 Ubuntu 的恶意软件问题,就像今天谷歌的 App Store 对 Android 一样?
RAO*_*AOF 24
所有官方 Ubuntu 存储库(包括您可以在archive.ubuntu.com其上找到的任何内容或其镜像,以及其他一些)都是完全策划的。这意味着main, restricted, universe,multiverse以及-updates和-security。那里的所有软件包要么来自 Debian(因此已由 Debian 开发人员上传)或已由 Ubuntu 开发人员上传;在这两种情况下,上传的包都通过上传者的 gpg 签名进行验证。
因此,您可以相信官方档案中的每个包都是由 Debian 或 Ubuntu 开发人员上传的。此外,您下载的软件包可以通过存储库中文件上的 gpg 签名进行验证,因此您可以相信您下载的每个软件包都是从 Ubuntu 或 Debian 开发人员上传的源代码在 Ubuntu 构建场中构建的。
这使得彻底的恶意软件不太可能——处于信任地位的人需要上传它,并且上传很容易被他们追踪到。
这就留下了更隐蔽的邪恶的问题。上游开发人员可以将后门程序放入其他有用的软件中,这些后门程序可以将其放入存档中 -universe或multiverse,具体取决于许可证。人们确实会对 Debian 存档进行安全审计,因此如果该软件流行起来,很可能会发现后门。
软件包main有一些额外的检查,并从 Ubuntu 安全团队得到更多的爱。
PPA 几乎没有这些。您从 PPA 获得的保证是您下载的软件包是在 Ubuntu 构建基础架构上构建的,并且是由有权访问所列上传者 Launchpad 帐户的 GPG 密钥之一的人上传的。无法保证上传者就是他们所说的那样 - 任何人都可以制作“Google Chrome PPA”。您需要以其他方式确定 PPA 的信任度。
¹:这条信任链可能会因对 Ubuntu 基础设施的广泛入侵而被破坏,但任何系统都是如此。开发人员的 gpg 密钥的泄露也将允许黑帽将包上传到存档,但由于存档通过电子邮件发送给每个包的上传者,因此应该很快注意到这一点。
小智 12
Ubuntu 存储库中的所有软件包在上传之前都由 MOTU(宇宙大师)检查和审查。MOTU 是使 Ubuntu 的 Universe 和 Multiverse 组件保持良好状态的勇敢灵魂。他们是社区成员,他们花时间尽可能多地添加、维护和支持 Universe 中的软件。因此,这些软件包不可能闯入您的计算机并窃取您的数据。但是,这些软件包可能存在安全漏洞,这些漏洞是在软件中发现的缺陷。Ubuntu 中还提供了一些包含安全性的软件(例如键盘记录器),但这些软件包不会窃取您的数据(除非有人故意将其安装在您的计算机上)。
希望这可以帮助。有关更多信息,请参阅 Ubuntu wiki 页面MOTU。
保留 Main 和 Universe 存储库非常安全,如果 PPA 特别受欢迎(大多数时候),或者您知道它们将是安全的(例如 Google Chrome PPA),那么 PPA 也是安全的。我怀疑 Google 会这样做放入任何类型的恶意软件。)如果您使用 Main、Universe 和 Google Chrome PPA,您将是安全的。
如果 Ubuntu 获得大量用户,那么是的,可能会有更多的恶意软件。但我认为这还不足以成为真正的问题。
| 归档时间: |
|
| 查看次数: |
9209 次 |
| 最近记录: |