Cách nhận biết các gói AUR có hại

Làm cách nào để nhận biết nếu một gói được cài đặt qua yaourt trên arch linux có thể gây hại cho máy tính của tôi? Tôi đọc trên wiki rằng tôi nên kiểm tra mọi cài đặt tôi thực hiện với yourt. Nhưng chính xác những gì tôi phải kiểm tra và làm cách nào để nhận ra các gói độc hại?

arch-linux security yaourt

— lup3x
nguồn

Bạn nên sử dụng các gói chính thức mà không cần AUR. Không có gì đảm bảo vì bất kỳ ai cũng có thể tải lên bất cứ điều gì lên AUR, chỉ cần đăng ký. Kiểm tra các bình luận và phiếu bầu của các gói AUR có thể đó là điểm khởi đầu tốt.

— uzsolt

Hướng dẫn wiki là đọc PKGBUILD trước khi tiến hành cài đặt ...

— jasonwryan

@uzsolt Điều đó thật nực cười: có rất nhiều gói tuyệt vời trong AUR, một số trong đó đã được chuyển từ các repos chính thức. Sử dụng các gói AUR, về nguyên tắc, là tốt; Điều quan trọng là hiểu những gì bạn đang cài đặt.

— jasonwryan

Không còn nghi ngờ gì nữa nhưng làm sao ai biết aur-foogói đó có hại hay không. Có tồn tại một quy tắc chung hoặc thuật toán? Tôi nghĩ là không. Và việc đọc PKGBUILD là không đủ - nghĩ rằng sẽ cài đặt một chương trình C có hại. Bạn có đọc mã nguồn đầy đủ trước khi cài đặt không? Tôi nghĩ nên kiểm tra các bình luận (về báo cáo, cảnh báo) và phiếu bầu (nếu có nhiều phiếu bầu thì có vẻ không tệ lắm). Tôi đang sử dụng nhiều gói AUR và tôi nghĩ hầu hết chúng đều tốt. Nhưng ... ma quỷ không bao giờ ngủ :)

— uzsolt

Câu trả lời:

Bạn không thể, thực sự, không thực hiện kiểm toán toàn diện mã và quan sát nó trong hành động "từ bên ngoài", ví dụ như sử dụng máy ảo. Không có cách chống đạn nào để tìm các gói độc hại và chắc chắn không có cách tự động nào có thể tránh được tương đối dễ dàng. Một số điều bạn thực tế có thể làm, không có gì trong số đó là đạn bạc:

Tải xuống gói, giải nén nó ( không cài đặt nó!) Và chạy kiểm tra vi rút trên các tệp đã giải nén. Điều này có thể tìm thấy một số vấn đề nổi tiếng, nhưng không phải là hack tùy chỉnh hoặc nhắm mục tiêu.
Trước khi sử dụng, hãy cài đặt nó trên một máy ảo và kiểm tra xem nó không làm gì "đáng ngờ", chẳng hạn như chạm vào các tệp không nên, giao tiếp với các máy chủ bên ngoài, tự mình bắt đầu các quy trình daemon, v.v. nó có thể làm những việc như vậy trên cơ sở thời gian, ví dụ như sau khi chạy trong X giờ, và không có cách nào bạn biết nếu không kiểm tra chi tiết mã. Máy dò Rootkit có thể tự động hóa một số điều này.
Cài đặt trong một môi trường hạn chế. SELinux, chroot jails, máy ảo, máy bị ngắt kết nối riêng biệt và nhiều thứ khác có thể chứa các loại phần mềm có vấn đề khác nhau, từ xấu đơn giản đến độc hại tích cực.
Dữ liệu có giá trị (nhưng không bí mật) có thể được đặt trên các máy chủ riêng biệt với quyền truy cập chỉ đọc được cung cấp cho máy không tin cậy.
Dữ liệu bí mật nên được đặt trên một máy không thể truy cập được từ máy không tin cậy. Bất kỳ thông tin liên lạc nên được sao chép thủ công thông qua phương tiện di động.

Cuối cùng, phần mềm bảo mật duy nhất là không có phần mềm. Bạn có chắc chắn cần cài đặt phần mềm mà bạn không tin tưởng? Không có nổi tiếng, đáng tin cậy thay thế?

— l0b0
nguồn

Vâng, tôi chỉ theo dõi các mục wiki cho xflux và JDK mặt trời. Là hướng dẫn của bạn cho mọi mục nhập của AUR hay tôi có thể tin tưởng các gói có bài viết wiki.archlinux rộng rãi không?

— lup3x

Không ai có thể nói cho bạn biết nên tin ai. Không ai biết tin tưởng ai. Tất cả những gì bạn có thể làm là thực hiện một cuộc gọi phán xét dựa trên kinh nghiệm của bản thân, lời khuyên của những người bạn tin tưởng, mức độ phổ biến của gói hoặc bất kỳ phương pháp phỏng đoán nào khác mà bạn đánh giá là đủ.

— l0b0

Cảm ơn tôi sẽ ghi nhớ điều đó khi cài đặt các gói mới

— lup3x

Tôi không chắc có nên tin vào lời khuyên của @ l0b0 không.

— Sparhawk 3/2/2015

@Sparhawk Tốt, chúng ta đang ở trên Internet sau khi tất cả, và ai để tin tưởng có được một quyết định cá nhân.

— l0b0

Như đã đề cập trước đó, bạn không thể biết chắc chắn.

Một trong những phương pháp phỏng đoán chính mà cá nhân tôi sử dụng là:

đọc PKGBUILD và tìm hiểu xem trang web nào đang tải xuống phần mềm từ đó. Đó có phải là nơi bạn mong đợi? Có phải từ một nguồn đáng tin cậy? Lấy ví dụ: Spotify là nguồn của nó là ' http://reposective.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amd64.deb '

Nếu tôi định dùng thử và cài đặt thủ công, tôi sẽ tải xuống từ spotify.com, vì vậy điều này là ổn trong sách của tôi. Đọc lướt qua phần còn lại của PKGBUILD và dường như nó không làm gì rõ ràng là bất thường. Tất nhiên có nhiều cách để lén lút nhưng tôi nghĩ mục tiêu chính của bất kỳ mã độc nào trên AUR sẽ là những người sử dụng yaourt, v.v. .

— kellpossible
nguồn