grm*_*grm 15 distros security repository
我知道的大多数发行版都有某种存储库功能,可以在安装后下载新软件包。哪些发行版以安全的方式执行此操作,哪些不以安全的方式执行此操作。
我特别在考虑诸如中间人之类的攻击媒介以及诸如存储库元服务器和存储库文件镜像上的安全漏洞之类的问题。
我听说 Slackware 和 Arch linux 都非常脆弱,因为它们缺乏包签名。这是真的?是否有其他主要的 linux 发行版容易受到简单的中间人攻击?
这不是对您问题的直接回答,但您可以采取多种措施来降低这种风险。最简单的方法是根据来自与下载的镜像不同的镜像的校验和检查下载的包。
当我的包管理器 ( poldek) 下载一个包时,我将它设置为将下载的 rpm 副本保存在缓存文件夹中。它会根据包存储库自动检查下载的校验和,并在不匹配时发出警告/中止,但是如果您担心中间人攻击您的发行版存储库,那么编写一个浏览过的辅助脚本会很容易您下载的所有软件包,并根据您从不同镜像下载的校验和进行验证。您甚至可以将第一次安装作为试运行运行,以便下载但不安装软件包,然后运行验证脚本,然后进行实际安装。
这并不能阻止受感染的软件包进入发行版的存储库,但大多数发行版都有其他缓解方法,即使签名的软件包也不能保证这永远不会成为问题。它所做的是扼杀目标中间人攻击向量。通过使用单独的源并在单独的频道上下载,您可以轻松地将受感染的软件包放入窃听线路中。