Tôi có thể bị nhiễm virut bằng cách sử dụng cài đặt sudo apt-get cài đặt không?

74

Tôi muốn đảm bảo an toàn khi tải xuống phần mềm bằng cách sử dụng sudo apt-get install. Các gói được quét ở đâu đó? Có phải tất cả các gói được tải xuống bằng cách sử dụng lệnh virus này không?

Nếu không có gì đảm bảo rằng chúng không có vi-rút, sau khi cài đặt gói chứa vi-rút, kẻ tấn công có thể kiểm soát hoàn toàn máy của tôi không? Có cách nào tôi có thể kiểm tra tất cả các gói đã được cài đặt trên máy tính của tôi không? (không phải bởi hệ thống tự động. Tôi muốn lọc chúng để xem tất cả các gói được tôi cài đặt thủ công, không phải bởi hệ thống.)

apt software-installation security

— Tomas
nguồn

8

Câu hỏi là hợp lệ, nhưng chứa những quan niệm sai lầm về virus. Danh sách đen là phương tiện duy nhất để tránh lây nhiễm là một phương pháp rất tệ , bất chấp sự phổ biến của nó nhờ mô hình bảo mật đảo ngược của Windows. "Quét" gói phần mềm là một cách khủng khiếp để ngăn chặn các hành động độc hại.

— tự đại diện

2

Tomas, bình luận của bạn đã bị xóa bởi một người điều hành. Xin vui lòng KHÔNG đăng nó nhiều lần.

— jokerdino

108

apttrên một hệ thống Ubuntu mặc định sẽ rất khó bị nhiễm virus. Tuy nhiên, điều đó không có nghĩa là không thể:

PPA độc hại
Một trong những tính năng của APT là khả năng quản trị viên thêm Lưu trữ gói cá nhân (PPA) hoặc các nguồn phần mềm khác vào bộ đệm APT. Các nguồn APT của bên thứ ba này không nhất thiết phải đáng tin cậy và có thể mang vi-rút. Tuy nhiên, sẽ có một hành động có chủ ý của quản trị viên của máy để thêm một trong những nguồn bị nhiễm này, khiến cho việc thêm chính nó trở nên khó khăn.
Kho lưu trữ bị tấn công
Về lý thuyết, kho lưu trữ phần mềm có thể bị tấn công bởi một bên độc hại, khiến .debcác tệp được tải xuống có khả năng mang tải trọng độc hại. Tuy nhiên, các kho phần mềm chính thức được theo dõi rất cẩn thận và bảo mật cho các kho lưu trữ này khá chặt chẽ. Một tin tặc sẽ khó có thể lấy đi một trong những nguồn phần mềm Ubuntu chính thức, nhưng các nguồn phần mềm của bên thứ ba (xem ở trên) có thể bị xâm phạm dễ dàng hơn rất nhiều.
Các cuộc tấn công mạng / MITM đang hoạt động
Nếu một mạng bị xâm phạm cao hơn (bằng cách nói, ISP của bạn), có thể bị nhiễm vi-rút từ các nguồn phần mềm chính thức. Tuy nhiên, một cuộc tấn công tầm cỡ này sẽ đòi hỏi rất nhiều nỗ lực và khả năng Man-In-The-Middle nhiều trang web, bao gồm các máy chủ phân phối khóa GPG và repos chính thức.
Các
lỗ hổng mã được viết / mã độc hại tồn tại trong mã nguồn mở, được đánh giá ngang hàng và mã được duy trì. Mặc dù những điều này về mặt kỹ thuật không được coi là "vi-rút" theo định nghĩa, một số khai thác bị ẩn hoặc không bao giờ được tiết lộ trong mã có thể cho phép kẻ tấn công độc hại đặt vi-rút vào hoặc pwn hệ thống của bạn. Một ví dụ về loại vấn đề này sẽ là Heartbleed từ OpenSSL hoặc Dirty CoW gần đây hơn nhiều. Lưu ý rằng các chương trình từ universehoặc multiverserepos là mối đe dọa tiềm năng của tầm cỡ này, như được giải thích ở đây .

apt(do tầm quan trọng của nó đối với các hệ thống Linux) được bảo vệ khá nghiêm ngặt trước hầu hết các loại tấn công này ở cả phía máy khách và máy chủ. Mặc dù có thể, một quản trị viên biết họ đang làm gì và biết cách đọc nhật ký lỗi sẽ có thể ngăn chặn bất kỳ cuộc tấn công nào xảy ra.

Ngoài ra, aptcũng thực thi xác minh chữ ký để đảm bảo rằng các tệp được tải xuống là hợp pháp (và được tải xuống chính xác ), khiến việc lén lút phần mềm độc hại trở nên khó khăn hơn apt, vì những chữ ký kỹ thuật số này không thể bị làm giả.

Đối với việc ứng phó với sự cố nhiễm phần mềm độc hại, cách dễ nhất tuyệt đối là ghi hệ thống xuống đất và bắt đầu lại từ bản sao lưu gần đây (và đã biết rõ). Do bản chất của Linux, phần mềm độc hại có thể rất dễ xuất hiện sâu trong hệ thống đến mức không bao giờ có thể tìm thấy hoặc trích xuất được. Tuy nhiên, các gói như clamavvà rkhuntercó thể được sử dụng để quét hệ thống cho nhiễm trùng.

— Kaze
nguồn

6

"đốt cháy hệ thống xuống đất" - đối với một loại virus thực sự được viết tốt, điều này gần như đúng theo nghĩa đen. Sự phá hủy vật lý của phần cứng sẽ được an toàn; bất cứ điều gì ít hơn sẽ là công việc khó khăn (ví dụ, nếu phần sụn đĩa cứng đã được root).

— Martin Bonner

2

Điều đáng chú ý là ba ví dụ này không loại trừ lẫn nhau. Bạn có thể thêm PPA của bên thứ ba đã bị hack bằng phương tiện MITM.

— el.pescado

11

Làm thế nào là (3) thậm chí có thể? Các gói được ký và khóa chung cho repos chính thức của Ubuntu đến từ phương tiện cài đặt Ubuntu. Tôi không nghĩ bạn có thể bị nhiễm trừ khi bạn bắt đầu từ phương tiện cài đặt giả mạo.

— Federico Poloni

6

Bạn nên thêm tùy chọn số 4: Mã ngầm trong gói chính thức. Các lỗi như chương trình heartbleed, rằng các lỗi nghiêm trọng có thể tồn tại trong nhiều năm thậm chí là công khai trong phần mềm nguồn mở được bảo trì nặng nề. Vì vậy, luôn có khả năng kẻ tấn công tiêm mã độc vào kho lưu trữ theo cách có thể tồn tại khi xem xét ngang hàng. Trong trường hợp này, bạn chỉ cần tải về cửa sau dưới dạng gói được ký đầy đủ từ máy chủ gốc.

— Falco

22

Lưu ý rằng tình hình chắc chắn không tốt hơn điều này trên các hệ thống không phải là Linux. Hoàn toàn ngược lại, thực sự. Cách tiêu chuẩn để nhận phần mềm trên Windows là tải xuống phần mềm theo nghĩa đen và hy vọng không có gì xấu xảy ra. Những gì bạn mô tả là về điều tốt nhất bạn có thể làm về phần mềm cài đặt an toàn. (Tôi nghĩ rằng đây là giá trị một cách rõ ràng đề cập trong câu trả lời, như một người hỏi câu hỏi này là ở cấp mới làm quen và có thể không nhận ra điều đó.)

— jpmc26

16

apt-getsẽ chỉ cài đặt từ kho lưu trữ Ubuntu chính thức được kiểm tra hoặc từ kho lưu trữ mà bạn đã thêm vào nguồn của mình. Nếu bạn thêm mọi kho lưu trữ bạn gặp, cuối cùng bạn có thể cài đặt một cái gì đó khó chịu. Đừng làm vậy.

— Marc
nguồn

1

Có những trường hợp khi bạn cần cài đặt * .deb từ các trang web khác nhưng họ cũng có số tiền kiểm tra / tổng băm tôi tin. Đôi khi bạn cần thêm ppa để tải xuống từ các kho lưu trữ khác nhưng lệnh apt-get vẫn được sử dụng. Sẽ thật tuyệt nếu kiểm tra ppa dựa vào danh sách "các trang web xấu" đã biết nếu điều đó là có thể ...

— WinEunuuchs2Unix

8

Một tổng kiểm tra bảo vệ chống tham nhũng vô tình, nhưng không cố ý giả mạo - đó là chữ ký OpenPGP bảo vệ chống giả mạo.

— Charles Duffy

1

Giả sử bạn tin tưởng người đã ký gói hàng và bạn có thể kiểm tra chìa khóa một cách đáng tin cậy. Thành thật mà nói, mỗi người đôi khi tải phần mềm từ web. Các kho lưu trữ lớn nhưng không phải là vô hạn. An ninh và tin tưởng hoàn hảo là một chút của một giấc mơ.

— Andrea Lazzarotto

Nhưng bạn không thể thêm kho bổ sung?

— Jeremy

"Nếu bạn thêm mọi kho lưu trữ bạn gặp, cuối cùng bạn có thể cài đặt một cái gì đó khó chịu. Đừng làm vậy."

— Marc

5

Các tệp được tải xuống sudo apt-getđược so sánh với tổng kiểm tra / tổng băm cho tệp đó để đảm bảo nó không bị giả mạo và không có vi-rút.

Thật vậy, những vấn đề mọi người gặp phải khi bạn google "sudo apt get hash sum" là quá nhiều bảo mật chống lại virus.

Linux không hoàn toàn không có vi-rút bằng bất kỳ phương tiện nào, tuy nhiên sự cố có thể ít hơn 1000 lần so với cửa sổ.

Sau đó, một lần nữa đánh giá bằng tên màn hình của tôi, tôi có thể bị thiên vị :)

Nhận xét vào ngày 28 tháng 11 năm 2017 đề cập đến việc Windows có 1.000 máy trạm nhiều hơn Linux, vậy tại sao lại phải hack Linux. Nó cho thấy thực tế Linux đang chạy trên tất cả 500 Siêu máy tính nhanh hơn hiện nay và hầu hết các Máy chủ web đang chạy Linux, đây là cách tốt nhất để hack tất cả các máy trạm Windows gắn vào internet.

Google Chrome, Android và Windows 10 cung cấp cho người dùng nhiều cơ hội để cung cấp quyền riêng tư của họ và có thể là một số bảo mật cùng một lúc.

— WinEunuuchs2Unix
nguồn

4

Hở? Các vấn đề về tổng kiểm tra không ảnh hưởng nhiều đến việc tránh sửa đổi có chủ ý như tham nhũng vô tình - trừ khi có chữ ký trên đó (và vâng, các gói Debian cũng có chữ ký OpenPGP), tổng kiểm tra có thể được sửa đổi nhiều như chính dữ liệu thô có thể . Nếu một tổng kiểm tra trên một gói không khớp với những gì đã có trong thời gian xây dựng, thì không có kỳ vọng hợp lý rằng gói đó có thể được trích xuất để có được nội dung gốc mong muốn.

— Charles Duffy

@Jeremy Tuy nhiên, Linux đang điều hành 500 siêu máy tính hàng đầu và hầu hết các máy chủ web, đây là một cách tuyệt vời để hack tất cả các máy khách Windows được đính kèm.

— WinEunuuchs2Unix

3

Mặc dù apt-get sẽ chỉ cài đặt từ kho Ubuntu chính thức, nhưng nó không đảm bảo 100% gói bạn nhận được là sạch.

Nếu kho lưu trữ bị hack, hacker có thể tiêm mã độc hại vào các gói. Máy chủ Linux Mint là một ví dụ đã bị hack và hacker đã tiêm phần mềm độc hại vào các tệp ISO của họ. http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/

— PT Huỳnh
nguồn

3

Ngay cả các sàn giao dịch NSA, DNC và bitcoin đã bị hack gần đây. Tôi nghĩ thật an toàn khi nói rằng các kho lưu trữ Ubuntu không có vi rút 99.99999%, đó là tinh thần của câu hỏi và câu trả lời của chúng tôi. Thật vậy, không ai thực sự phát hiện ra virus Ubuntu trong phần hỏi đáp này. Có một loại virus / phần mềm độc hại Linux lâu đời mà KASLR sửa chữa mà hầu hết mọi người thậm chí không biết và tôi chỉ đọc về một trang web thay thế không phải MSM không dựa trên Linux và chỉ dựa trên tin tức toàn cầu. Tôi muốn nói rằng Linux có ít virus hơn Windows và Ubuntu Update là an toàn. Tuy nhiên như luôn luôn cẩn thận của các trang web.

— WinEunuuchs2Unix

2

Có một sự khác biệt lớn giữa việc tiêm mã độc vào ISO và vào các máy chủ apt. Các ISO không được ký đầy đủ - có sẵn công cụ hiện đại có thể được sử dụng cho việc ký như vậy (ký EFI để bảo vệ bộ tải khởi động, xác thực GRUB OpenPGP để bảo vệ kernel và initrd, dm-verity để bảo vệ hệ thống tập tin gốc), nhưng dm -verity chưa được sử dụng rộng rãi ngoài ChromeOS. Mặt khác, tất cả các máy chủ apt đều có chữ ký OpenPGP - bạn cần phải xâm nhập vào máy trạm của một trong những nhà phát triển đáng tin cậy để giả mạo chúng.

— Charles Duffy

1

Tiêm ISO và phục vụ các gói apt bị nhiễm là hoàn toàn khác nhau. Một máy chủ có thể bị hack và iso bị nhiễm có thể được phục vụ, nhưng apt không thể được phân phối theo cách này. có những chữ ký sẽ ngăn chặn nó

— Anwar

-4

phụ thuộc vào quyền sudo của bạn là gì. truy cập root? tất cả các cược đã tắt - bạn thực sự đặt niềm tin vào hệ sinh thái apt-get có thể có hoặc không an toàn. Tôi nghĩ đó là một ý tưởng tồi tệ nhưng tôi luôn thực hiện nó bởi vì đó là sự lựa chọn duy nhất. Nếu bạn đang chạy một bản cài đặt nhạy cảm trong đó bảo mật ở mức cao thì việc chạy sudo khi chống lại bạn không hoàn toàn kiểm soát có lẽ là điên rồ. nếu bạn chỉ là một schmoe thông thường thì có lẽ bạn ổn.

— di động
nguồn

Câu hỏi ở đây là liệu hệ sinh thái apt-get trên thực tế có an toàn đến mức nào hay không, mà tôi không chắc câu trả lời này sẽ giải quyết trực tiếp. Đối với "ý tưởng khủng khiếp" - ngoài việc phân phối các khóa OpenPGP thuộc sở hữu của các nhà phát triển đáng tin cậy với hệ điều hành (như đã hoàn thành) và yêu cầu hành động rõ ràng của người dùng để kích hoạt các khóa bổ sung (như khi thêm PPA), các biện pháp bổ sung nào sẽ hoặc có thể bạn thêm nếu bạn đang xây dựng hệ thống phân phối phần mềm của riêng bạn?

— Charles Duffy

không, câu hỏi rất rõ ràng chỉ cần đọc op. "Tôi có thể bị nhiễm virus không?" vâng, dứt khoát xây dựng hệ thống phân phối phần mềm của riêng bạn là một câu hỏi hoàn toàn khác.

— di động

ps. Tôi nói "Tôi nghĩ" đó là một ý tưởng tồi tệ, không thể thách thức được. Tôi thực sự là một ý tưởng tồi cho các hệ thống phân phối phần mềm yêu cầu sudo.

— di động

6

Tôi cho rằng đó là một ý tưởng thậm chí còn khủng khiếp hơn khi cho phép người dùng không có đặc quyền cài đặt phần mềm ở những vị trí có PATH mặc định cho những người dùng không có đặc quyền khác. Homebrew là một kẻ phạm tội nghiêm trọng ở đây - ngay khi nó thực hiện thiết lập, mọi quy trình bị xâm phạm chạy theo uid có liên quan đều có thể cài đặt phần mềm /usr/local/binmà không yêu cầu người dùng xác nhận rằng họ có ý định cho phép hoạt động hành chính.

— Charles Duffy

3

Về mặt lý thuyết có thể, nhưng ít khả năng hơn. Và đây không phải là Security SE, nơi chúng tôi đang kinh doanh trên lý thuyết - đó là Hỏi Ubuntu, tập trung vào người dùng cuối với các câu hỏi có căn cứ trong thực tế.

— Charles Duffy