Mein aktueller Standort ist Tausende von Kilometern vom Hauptserver von Ubuntu entfernt und ich bin verpflichtet, einen seiner Spiegel in meinem Wohnsitzland zu verwenden.
Implementieren die Besitzer von Ubuntu Maßnahmen, um ihre Dateien (z. B. ISOs, Updates, Sicherheitspatches) auf ihren Mirror-Sites regelmäßig zu überprüfen, und / oder Malware / Trojaner wurden von Hackern nicht eingeführt?
Meine persönlichen Erfahrungen mit der Installation und Aktualisierung von Ubuntu vom Hauptserver aus haben mindestens zwei Stunden gedauert, wohingegen derselbe Vorgang nur 10 bis 15 Minuten gedauert hat, als ich die in meinem Land verfügbare Ubuntu-Mirror-Site verwendet habe.
Antworten:
Pakete im Ubuntu-Archiv werden mit einem GPG-Schlüssel signiert, den jeder, der versucht, Code auf dem Spiegel zu ersetzen, nicht unbedingt hat. Es wäre möglich, ein signiertes Paket zu fälschen, aber das ist nicht ganz einfach.
Sie können den mit diesen GPG-Schlüsseln signierten Paketen im Allgemeinen vertrauen. Beim Aktualisieren durch
update-manageroder werdenaptSie gewarnt, wenn Pakete nicht mit einem Schlüssel signiert sind, der sich im Systemschlüsselring von apt package befindet. Sie müssen die Installation solcher Pakete manuell akzeptieren. Wenn Sie diese Warnung für ein Paket sehen, das aus dem offiziellen Ubuntu-Archiv stammt, oder für einen Spiegel davon, sollten Sie das Paket wahrscheinlich nicht installieren und sofort einen Fehler darüber melden.Bei ISOs müssen Sie die Prüfsummen-Hashes mit den Angaben auf den offiziellen Ubuntu-Servern überprüfen.
quelle
you should probably not install the package, and immediately report a bug about it. Ich denke, Laufenapt-get update, versuchen Sie es erneut, und melden Sie einen Fehler. Dies ist ein besserer Ansatz. Wenn die Verbindung während einesapt-get updateVorgangs unterbrochen wird, wird manchmal die gleiche Warnung angezeigt, wenn Sie versuchen, ein Paket zu installieren, bevor Sie das Update erneut durchführen.