Sam*_*ues 4 security apt package-management
要安装 Sublime,它需要我添加一个 GPG 密钥和一个 sources.list 条目,以便 apt-get 可以找到它。其他几个程序也提出了同样的要求。为什么向sources.list 添加更多域不会带来安全风险?
即:假设包 A 应该来自主机 B。我将主机 C 添加到新的 sources.list 中。主机 C 被破坏,攻击者托管一个恶意包并将其称为 A。下次我尝试更新 A 时,apt-get 检查源并决定从 C 而不是 B 下载它,我得到了恶意版本。
slm*_*slm 15
答案是:是。
无论您使用什么发行版/操作系统,引入额外的软件包源总是有风险的。理论上,使用 GPG 密钥有助于降低风险,因为理论上,有人必须:
在这种情况下,有人将不得不通过多个层来做一些邪恶的事情。与安全方面的情况一样。这都是关于层的!为了让社区蓬勃发展并站在他人的肩膀上,您必须愿意放弃孤立,并信任他人。
请记住,提供文件的服务器以前曾在不同程度上受到损害,但通常会立即被发现并且可以在短时间内解决。
| 归档时间: |
|
| 查看次数: |
449 次 |
| 最近记录: |