Ubuntu ให้ความมั่นใจได้อย่างไรว่าแพ็คเกจและ ISO จากมิเรอร์นั้นปลอดภัย

ที่ตั้งปัจจุบันของฉันคือพันกิโลเมตรจากเซิร์ฟเวอร์หลักของ Ubuntu และฉันจำเป็นต้องใช้กระจกเงาบานหนึ่งในประเทศภูมิลำเนาของฉัน

เจ้าของ Ubuntu ใช้มาตรการเพื่อตรวจสอบไฟล์เป็นระยะ ๆ (เช่น ISO, อัปเดต, แพตช์รักษาความปลอดภัย) ที่ไซต์มิเรอร์ของพวกเขาไม่ได้ถูกดัดแปลงและ / หรือมัลแวร์ / โทรจันไม่ได้ถูกแฮ็ก

ประสบการณ์ส่วนตัวของฉันเกี่ยวกับการติดตั้งและอัปเดต Ubuntu จากเซิร์ฟเวอร์หลักใช้เวลาอย่างน้อยสองชั่วโมงในขณะที่กระบวนการเดียวกันนั้นใช้เวลาเพียง 10 ถึง 15 นาทีเมื่อฉันใช้เว็บไซต์ Mirror ของ Ubuntu ที่มีให้บริการในประเทศของฉัน

mirrors

— n00b
แหล่งที่มา

@ ผู้ลงคะแนน: โปรดอธิบายว่าทำไมคุณลงคะแนนในความคิดเห็นสั้น ๆ หากมีอะไรที่ฉันควรพิจารณาคำถามนี้อย่างน้อยความพยายามที่จะแสดงความกังวลที่ถูกต้องตามกฎหมาย หากคุณมีเหตุผลที่จะเชื่อว่าไม่จำเป็นต้องกังวลเกี่ยวกับมันโปรดอธิบายว่าทำไม ขอขอบคุณ.

— บ๊องเกี่ยวกับ natty

ปิดผู้มีสิทธิเลือกตั้ง: นี่ไม่ใช่หัวข้อ มันสามารถได้รับประโยชน์จากการปรับแต่ง - ไม่มีอะไรในโลกที่เป็นแฮ็กเกอร์และพิสูจน์การงัดแงะ แต่คำถามที่ถามว่ามาตรการรักษาความปลอดภัยของโครงการอูบุนตูเพื่อตรวจสอบความปลอดภัยของกระจกที่ผู้อื่นดูแลซึ่งเป็นสิ่งที่สิ่งนี้ถาม - เป็นสิ่งที่ดี (ทั้งโดยทั่วไปและสำหรับเว็บไซต์ของเราตาม คำถามที่พบบ่อย)

— Eliah Kagan

ฉันได้ตั้งชื่อใหม่ให้เป็นทั่วไปมากกว่าซึ่งควรตอบประเด็นในคำถาม

— Jorge Castro

การอ่านที่เกี่ยวข้อง: askubuntu.com/questions/56509/…

สำหรับ ISO ฉันคิดว่าคุณสามารถทำการตรวจสอบแฮช MD5 กับ ISO ที่ดาวน์โหลดจากมิเรอร์กับ MD5 ที่ได้รับจากพาเรนต์ เนื่องจากเป็น ISO เดียวกันจึงควรมี MD5 เหมือนกันในไซต์แม่

— Ahmadgeo

แพ็คเกจในชุดเก็บถาวรของ Ubuntu ได้รับการเซ็นชื่อด้วยรหัส GPG ซึ่งทุกคนพยายามเปลี่ยนรหัสบนมิเรอร์นั้นไม่จำเป็นต้องมี มันเป็นไปได้ที่จะปลอมแปลงแพ็คเกจที่ลงนามแล้ว แต่มันก็ไม่สำคัญอะไรนัก

โดยทั่วไปคุณสามารถเชื่อถือแพ็คเกจที่ลงชื่อด้วยคีย์ GPG เหล่านี้ เมื่ออัปเดตผ่านupdate-managerหรือaptคุณจะได้รับการเตือนเมื่อไม่มีการเซ็นชื่อแพคเกจด้วยรหัสที่อยู่ในระบบที่ใช้งานได้ คุณจะต้องยอมรับการติดตั้งแพ็คเกจดังกล่าวด้วยตนเอง หากคุณเห็นคำเตือนนี้สำหรับแพ็คเกจที่มาจากไฟล์เก็บถาวร Ubuntu อย่างเป็นทางการหรือมิเรอร์ดังกล่าวคุณอาจไม่ควรติดตั้งแพคเกจและรายงานข้อผิดพลาดเกี่ยวกับแพ็คเกจทันที

สำหรับ ISO คุณจะต้องตรวจสอบ hash checksum กับสิ่งที่อยู่ในเซิร์ฟเวอร์ Ubuntu อย่างเป็นทางการ

— dobey
แหล่งที่มา

@ dobey: ขอบคุณสำหรับข้อมูล มันจะดีถ้าโครงการ Ubuntu ให้รายการมิเรอร์ที่เชื่อถือได้ที่ได้รับการปรับปรุง โดยเฉพาะอย่างยิ่งฉันต้องการตรวจสอบว่ากระจกในประเทศภูมิลำเนาของฉันได้รับการรับรองว่าเชื่อถือได้โดยโครงการ Ubuntu หรือไม่

— n00b

หากคุณใส่ใจเรื่องความปลอดภัย / ความมั่นคงคุณไม่ควรเพิ่ม PPA แพ็คเกจในแพ็คเกจเหล่านี้ได้รับการลงนาม แต่ไม่มีการรับรองจริงกับพวกเขาโดยทั่วไป

— dobey

ฉันไม่รู้ว่าเซิร์ฟเวอร์มิเรอร์ตรวจสอบลายเซ็น GPG และเช็คซัมของแพ็คเกจหรือไม่ ซอฟต์แวร์ที่รันในเครื่องบนระบบของคุณทำการตรวจสอบลายเซ็น GPG

— dobey

you should probably not install the package, and immediately report a bug about it. ฉันคิดว่าทำงานapt-get updateลองอีกครั้งแล้วรายงานข้อผิดพลาดเป็นวิธีที่ดีกว่า บางครั้งหากการเชื่อมต่อขาดระหว่างapt-get updateคุณจะได้รับคำเตือนแบบเดียวกันเช่นกันหากคุณพยายามติดตั้งแพคเกจก่อนอัปเดตอีกครั้ง

— ด่าน

@Dan คำเตือนในเวลานั้นคือระหว่างการอัพเดทข้อมูลแพ็คเกจไม่ได้ติดตั้งแพคเกจ นี่คือเกี่ยวกับการติดตั้งแพคเกจ

— dobey