Những kho lưu trữ Ubuntu nào hoàn toàn an toàn và không có phần mềm độc hại?

13

Tôi đọc tin tức về tất cả các phần mềm độc hại đang lây nhiễm HĐH Android. Phần mềm độc hại có trong Cửa hàng ứng dụng của Google và mọi người vô tình tải xuống và cài đặt nó.

Theo tôi hiểu, kho lưu trữ chính của Ubuntu an toàn cho tôi tải xuống từ (Tôi sẽ không bị nhiễm phần mềm độc hại khi làm như vậy) vì các kỹ sư của Canonical xem xét phần mềm. Nhưng những repos khác, đáng chú ý nhất là kho vũ trụ thì sao? Repo vũ trụ có nhận được bất kỳ loại đánh giá nào để bảo vệ khỏi phần mềm độc hại không? Có nên tránh repo vũ trụ vì sợ vô tình tải phần mềm độc hại từ nó không?

Tôi đã đọc PPA đặc biệt nguy hiểm vì chúng không được xem xét. Tuy nhiên, tôi cho rằng việc sử dụng Google Chrome PPA là hoàn toàn an toàn.

Vì vậy, nếu tôi không sử dụng gì ngoài kho lưu trữ Chính & Vũ trụ và Google Chrome PPA, tôi có được bảo vệ khỏi việc vô tình tải xuống phần mềm độc hại không?

Nếu Ubuntu có được hàng trăm triệu người dùng như Mark Shuttleworth dự đoán, liệu PP PP của Ubuntu có trở thành vấn đề về phần mềm độc hại cho Ubuntu như App Store của Google ngày nay dành cho Android không?

repository 
Nick
nguồn
4
Bạn dường như hỏi một số câu hỏi. Trang web này hoạt động tốt hơn với một câu hỏi tại một thời điểm. Bạn có thể muốn viết lại câu hỏi của bạn thành một câu hỏi hoặc chia nó thành nhiều câu hỏi.
NN
Chà, trước hết là Android = / = Ubuntu, sau đó nếu bạn thêm PPA, bạn sẽ biết lý do tại sao bạn làm việc đó, do đó bạn biết những gì trong đó để HĐH an toàn miễn là bạn biết bạn đang cài đặt cái gì.
Uri Herrera
bạn có thể tin tưởng tất cả các gói mà họ sẽ không hack máy tính của bạn hoặc làm hại nó.
Alvar

Câu trả lời:

19

Tất cả các kho lưu trữ chính thức của Ubuntu (bao gồm mọi thứ bạn có thể tìm thấy trên archive.ubuntu.comhoặc các gương của nó, cũng như một số kho khác) đều hoàn toàn được quản lý. Điều này có nghĩa main, restricted, universe, multiverse, cũng như -updates-security. Tất cả các gói trong đó đều đến từ Debian (và do đó đã được Nhà phát triển Debian tải lên) hoặc đã được nhà phát triển Ubuntu tải lên; trong cả hai trường hợp, gói được tải lên được xác thực bằng chữ ký gpg của người tải lên.

Do đó, bạn có thể tin tưởng rằng mọi gói trong kho lưu trữ chính thức đã được nhà phát triển Debian hoặc Ubuntu tải lên. Hơn nữa, các gói bạn tải xuống có thể được xác nhận bằng chữ ký gpg trên các tệp trong kho lưu trữ, vì vậy bạn có thể tin tưởng rằng mỗi gói bạn tải xuống đã được xây dựng trên trang trại xây dựng Ubuntu từ nguồn được nhà phát triển Ubuntu hoặc Debian tải lên¹.

Điều này khiến phần mềm độc hại hoàn toàn không thể xảy ra - ai đó ở vị trí tin cậy sẽ cần phải tải nó lên và việc tải lên sẽ dễ dàng truy tìm được đối với họ.

Điều này để lại câu hỏi về sự bất chính lén lút hơn. Các nhà phát triển ngược dòng có thể đưa backtime vào phần mềm hữu ích khác và những phần mềm này có thể đưa nó vào kho lưu trữ - trong universehoặc multiverse, tùy thuộc vào giấy phép. Mọi người chạy kiểm tra bảo mật của kho lưu trữ Debian, vì vậy nếu phần mềm này trở nên phổ biến thì có khả năng cửa hậu sẽ bị phát hiện.

Các gói trong maincó một số kiểm tra bổ sung và nhận được nhiều tình yêu hơn từ nhóm bảo mật Ubuntu.

PPA gần như không có điều này. Bảo đảm bạn nhận được từ PPA là các gói bạn tải xuống được xây dựng trên cơ sở hạ tầng xây dựng Ubuntu và được ai đó có quyền truy cập vào một trong các khóa GPG của tài khoản Launchpad của người tải lên được liệt kê. Không có gì đảm bảo rằng người tải lên là người mà họ nói họ là ai - bất kỳ ai cũng có thể tạo ra một Google Chrome PPA kèm theo. Bạn cần xác định niềm tin theo một số cách khác cho PPA.

: Chuỗi tin cậy này có thể bị phá vỡ do sự xâm nhập sâu rộng vào cơ sở hạ tầng Ubuntu, nhưng điều đó đúng với bất kỳ hệ thống nào. Sự thỏa hiệp của khóa gpg của nhà phát triển cũng sẽ cho phép mũ đen tải các gói lên kho lưu trữ, nhưng vì việc lưu trữ gửi email cho người tải lên của mỗi gói nên điều này sẽ được chú ý nhanh chóng.

RAOF
nguồn
Cần lưu ý rằng Google vẫn duy trì repo Google Chrome và Google là một công ty khá đáng tin cậy.
Thomas Boxley
@ThomasBoxley XD
Solo
@Solo lmao Tôi lấy lại nó khi nhìn lại.
Thomas Boxley
8

Tất cả các gói trong Kho lưu trữ Ubuntu trước khi được tải lên đều được kiểm tra và xem xét bởi Bộ GTVT (Masters of the Universe). Bộ GTVT là những linh hồn dũng cảm giữ cho các thành phần Vũ trụ và Đa vũ trụ của Ubuntu thành hình dạng. Họ là những thành viên cộng đồng dành thời gian của họ để thêm, duy trì và hỗ trợ càng nhiều càng tốt phần mềm được tìm thấy trong Vũ trụ. Do đó, không có cơ hội các gói này xâm nhập vào máy tính của bạn và đánh cắp dữ liệu của bạn. Tuy nhiên, các gói này có thể có lỗi bảo mật là lỗi được tìm thấy trong phần mềm. Ngoài ra, một số phần mềm bao gồm bảo mật có sẵn trong Ubuntu (ví dụ: logger khóa) nhưng các gói này sẽ không lấy cắp dữ liệu của bạn (trừ khi ai đó cố tình cài đặt nó trên máy tính của bạn).

Hi vọng điêu nay co ich. Xem Ubuntu trang wiki MOTU để biết thêm thông tin.

Vibhav Pant
nguồn
2

Ở trong kho lưu trữ Chính và Vũ trụ rất an toàn và PPA cũng vậy nếu chúng đặc biệt phổ biến (hầu hết thời gian) hoặc bạn biết rằng chúng sẽ an toàn (như Google Chrome PPA. Tôi nghi ngờ Google sẽ đặt bất kỳ loại phần mềm độc hại nào trong đó.) Nếu bạn sử dụng Chính, Vũ trụ và Google Chrome PPA của mình, bạn sẽ an toàn.

Nếu Ubuntu có được rất nhiều người dùng, thì có, có lẽ sẽ có nhiều phần mềm độc hại hơn. Tôi không nghĩ rằng có đủ để có một vấn đề thực sự mặc dù.

Thomas Boxley
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.