jes*_*ter 18 linux software-installation repository
来自 Windows 世界,我习惯将每个新的 EXE 或安装文件都通过 Virustotal 之类的工具放置,或者搜索 Stack Exchange/Reddit 来获取有关特定部分的安全性评论(没有恶意软件、没有间谍软件等)安装软件之前。
对于 Linux,只要我使用来自供应商映像的操作系统新安装附带的默认存储库,安装任何实用程序或软件是否基本上是完全安全的?
如果不是,验证特定 Linux 实用程序/程序/应用程序安全性的一般过程是什么?
sud*_*dus 22
是的,只要您使用新安装操作系统附带的默认存储库,安装任何实用程序或软件都是“基本安全”的。默认存储库包含由 Linux 发行版的开发人员和/或维护人员测试的软件。
有不同的安全级别。以Ubuntu为例:
在 Canonical 工作的 Ubuntu 开发人员/维护人员完全负责服务器版本和所有版本的 Ubuntu 桌面中使用的中央程序包(主存储库等)。在某些情况下,他们正在开发这些程序,但在许多情况下,这些程序是由其他人/团体(例如 Debian)“上游”开发和打包的。无论软件包的来源如何,所有软件包主要受益于 Ubuntu 本身提供的全面安全支持。
软件在存储库宇宙和多元宇宙中的功能经过测试,但该软件是由其他人或团体开发和打包的,Ubuntu 无法保证安全性。
PPA 中的软件未经 Ubuntu 开发人员和/或维护人员测试。质量和安全性取决于开发人员/维护人员。(我负责一个 PPA,并且正在使用其他一些 PPA,但我知道很多人因为安全风险而远离它们。)
以上所有软件都会自动更新。
单独下载的软件(如 Windows 应用程序的典型情况)安全性较低(例如,您必须检查它们是否是最新的)。
您自己编译甚至自己开发的软件可能安全也可能不安全,具体取决于您的技能以及软件处理的内容。
这些链接更详细地描述了 Ubuntu 案例:
以类似的方式,其他 Linux 发行版也拥有或多或少经过功能和安全性测试的存储库。在安装更多“外围”软件之前,您应该仔细检查其来源、声誉和维护情况。
在安装之前,最好在单独的“测试”系统中测试软件,例如在虚拟机、实时系统或第二台计算机中。
Vil*_*eni 17
与 Windows Update 相比,所有主要 GNU/Linux 发行版的软件包都可能更好。如果您相信 Microsoft 不会通过 Windows Update 发布病毒,那么您也应该信任您的分销商。更重要的是,因为大多数软件包都是免费软件,其源代码可供公众使用。
一些发行版(例如 Arch Linux)具有单独的“官方”存储库和“非官方”用户生成的存储库(AUR),其中包含来自发行商支持的官方存储库的软件包,并且 AUR 警告用户不要信任来自其的软件包。
认为“安全”是一个矛盾的说法,无论是 Unix、Linux、BSD 还是任何其他软件发行版。原因是,您信任其他人的数据。虽然我使用 Debian 已经有大约 10 年多了,没有出现任何重大问题,但还是有一些有问题的软件包,但它超出了发行商的控制或知识范围。这是几年前的事了,我不记得该包的名称,但我确实记得该包的一些功能。
这是在 Firefox 转向这种积极的发布流程之前,它将支持插件 n 年。该软件包或插件用于检查网页/网站的安全性。众所周知,任何网站证书都涉及很多事情。您可能需要检查证书的密码强度以及各种信息,以了解该网站的安全性有多好或多坏。类似于我正在使用 atm 的https://github.com/andreicristianpetcu/Base64CertificateViewer/ 。唯一的区别是插件将数据(使用插件的用户的 IP、用户要去哪些网站等)出售给第三方。大约在事情发生五六年后,人们才知道这件事。有很多戏剧性的事情,最后该插件从 Firefox 商店/插件页面上删除了,他们还对外部插件可以查看和显示证书的程度进行了很多更改。
FWIW,当它被知道的那一刻,它也被从 Debian 的存储库中删除,但损害已经造成。我是最初请求将该软件包放入 Debian 的请求者。我确实知道,不少使用 Debian 的人处于弱势地位,而有些人则处于强势地位。如果这些组中的任何一个使用了存储库中的该插件。他们让自己变得更加脆弱。
现在这种数据盗窃行为,我怀疑任何商店或任何人都可以预测。类似的事例在很多地区都曾发生过。例如 Freenode 上的戏剧,
就社会动态而言,你不能排除任何事情或任何人。
自由软件确实试图让人们做正确的事。几乎所有软件都附带一个或多个许可证,并且大多数软件都是在特定时间点根据特定需求编写的。大多数许可证都需要添加、修改许可证,以便添加我们想要的数据保护。好消息是,这是可以做到的,因为大多数自由软件许可证也是黑客攻击,坏消息是如果有坏人,他可能会以某种方式忽略许可证。
| 归档时间: |
|
| 查看次数: |
5244 次 |
| 最近记录: |