bak*_*ytn 2 security ubuntu debian apt
我们使用本地 Ubuntu 存储库镜像,因为我们的外部流量不是免费的。每当我apt-get install "program"从该存储库获取它时。
apt-get install "program"
问题是......存储库的维护者可以用他们自己的包替换存储库上的任何包吗?
我可以在任何apt-get upgradeorapt-get install或上轻松被黑客入侵apt-get dist-upgrade吗?
apt-get upgrade
apt-get install
apt-get dist-upgrade
我们从本地 Ubuntu 镜像中获取非常基本的包,例如“telnet”或任何其他镜像。
oos*_*hro 10
不。
所有包和索引(Packages.gz、Sources.gz、...)都应该使用 GPG 密钥进行签名。apt 还使用 md5sum 来验证它是否下载了 Packages 索引文件的正确副本。
如果有人替换或修改了一个包,该包将不再匹配 GPG 标志。
归档时间:
14 年,7 月 前
查看次数:
835 次
最近记录: