Làm thế nào để Ubuntu đảm bảo rằng các gói và ISO từ gương được an toàn?

Vị trí hiện tại của tôi cách máy chủ chính của Ubuntu hàng ngàn km và tôi bắt buộc phải sử dụng một trong những chiếc gương của nó ở đất nước của tôi.

Các chủ sở hữu Ubuntu có thực hiện các biện pháp kiểm tra định kỳ các tệp của họ (ví dụ: ISO, cập nhật, bản vá bảo mật) tại các trang nhân bản của họ không bị giả mạo và / hoặc phần mềm độc hại / trojan không được tin tặc giới thiệu không?

Trải nghiệm cá nhân của tôi với việc cài đặt và cập nhật Ubuntu từ máy chủ chính mất ít nhất hai giờ trong khi quá trình tương tự chỉ mất 10 đến 15 phút khi tôi sử dụng trang web nhân bản Ubuntu có sẵn ở quốc gia của tôi.

mirrors

— n00b
nguồn

@ những người bỏ phiếu xuống: xin vui lòng giải thích lý do tại sao bạn bỏ phiếu trong một bình luận ngắn; nếu có bất cứ điều gì tôi sẽ xem xét câu hỏi này ít nhất là một nỗ lực để bày tỏ mối quan tâm chính đáng. Nếu bạn có cơ sở để tin rằng người ta không cần phải lo lắng về điều đó, xin vui lòng giải thích tại sao. Cảm ơn bạn.

— hấp dẫn về natty 26/03/13

Đóng cử tri (s): Đây không phải là ngoài chủ đề. Nó có thể được hưởng lợi từ một số tinh chỉnh - về cơ bản không có gì trên thế giới là tin tặc và giả mạo. Nhưng một câu hỏi đặt ra là các biện pháp bảo mật được thực hiện bởi dự án Ubuntu để giám sát tính bảo mật của các gương được duy trì bởi những người khác - đó là những gì nó đang hỏi - là một biện pháp tốt (nói chung và cho trang web của chúng tôi phù hợp với Câu hỏi thường gặp).

— Eliah Kagan

Tôi đã đặt lại tên cho nó một chút để chung chung hơn để giải quyết các điểm trong câu hỏi.

— Jorge Castro

Bài đọc liên quan: Askubfox.com/questions/56509/ trên

Đối với các ISO, tôi nghĩ rằng bạn có thể thực hiện kiểm tra băm MD5 trên ISO được tải xuống từ gương so với MD5 thu được từ cha mẹ. Vì nó là cùng một ISO, nên nó có cùng MD5 như trong trang mẹ.

— Ahmadgeo

Các gói trong kho lưu trữ Ubuntu được ký bằng khóa GPG, mà bất kỳ ai cố gắng thay thế mã trên máy nhân bản, không nhất thiết phải có. Có thể giả mạo một gói đã ký, nhưng nó không phải là quá nhỏ để làm như vậy.

Nói chung, bạn có thể tin tưởng các gói được ký bằng các khóa GPG này. Khi cập nhật thông qua update-managerhoặc aptbạn sẽ được cảnh báo khi các gói không được ký với khóa nằm trong khóa gói apt của hệ thống. Bạn sẽ phải chấp nhận cài đặt thủ công các gói đó. Nếu bạn thấy cảnh báo này đối với gói đến từ kho lưu trữ chính thức của Ubuntu hoặc bản sao của gói đó, có lẽ bạn không nên cài đặt gói đó và ngay lập tức báo cáo lỗi về nó.

Đối với ISO, bạn sẽ cần xác minh băm kiểm tra với những gì trên máy chủ Ubuntu chính thức.

— dobey
nguồn

@ dobey: Cảm ơn thông tin. Sẽ tốt hơn nếu Dự án Ubuntu cung cấp một danh sách cập nhật các gương đáng tin cậy; đặc biệt tôi muốn tìm hiểu xem những chiếc gương ở quốc gia nơi tôi đã được chứng nhận là đáng tin cậy bởi Dự án Ubuntu.

— n00b

Nếu bạn quan tâm đến bảo mật / sự ổn định, có lẽ bạn không nên thêm PPA. Các gói trong chúng được ký, nhưng nói chung không có đảm bảo thực sự với chúng.

— dobey

Tôi không biết liệu các máy chủ nhân bản có xác minh chữ ký GPG và tổng kiểm tra của các gói hay không. Phần mềm chạy cục bộ trên hệ thống của bạn không kiểm tra chữ ký GPG.

— dobey

you should probably not install the package, and immediately report a bug about it. Tôi nghĩ rằng chạy apt-get update, thử lại sau đó báo cáo một lỗi là một cách tiếp cận tốt hơn. Đôi khi, nếu kết nối bị ngắt trong quá trình apt-get updatebạn cũng sẽ nhận được cảnh báo tương tự nếu bạn cố gắng cài đặt gói trước khi cập nhật lại.

— Dan

@Dan các cảnh báo tại thời điểm đó là trong quá trình cập nhật thông tin gói, không cài đặt các gói. Đây là về cài đặt các gói.

— dobey