Wie stellt Ubuntu sicher, dass Pakete und ISOs von Spiegeln sicher sind?

22

Mein aktueller Standort ist Tausende von Kilometern vom Hauptserver von Ubuntu entfernt und ich bin verpflichtet, einen seiner Spiegel in meinem Wohnsitzland zu verwenden.

Implementieren die Besitzer von Ubuntu Maßnahmen, um ihre Dateien (z. B. ISOs, Updates, Sicherheitspatches) auf ihren Mirror-Sites regelmäßig zu überprüfen, und / oder Malware / Trojaner wurden von Hackern nicht eingeführt?

Meine persönlichen Erfahrungen mit der Installation und Aktualisierung von Ubuntu vom Hauptserver aus haben mindestens zwei Stunden gedauert, wohingegen derselbe Vorgang nur 10 bis 15 Minuten gedauert hat, als ich die in meinem Land verfügbare Ubuntu-Mirror-Site verwendet habe.

n00b
quelle
11
@ Die Abwähler: Bitte erläutern Sie in einem kurzen Kommentar, warum Sie Abwahlen vorgenommen haben. Wenn überhaupt, würde ich diese Frage zumindest als Versuch betrachten, ein berechtigtes Anliegen auszudrücken. Wenn Sie Grund zu der Annahme haben, dass Sie sich keine Sorgen machen müssen, erklären Sie uns bitte, warum. Vielen Dank.
verrückt nach natty
9
Enge Wähler: Dies ist kein Thema. Es könnte etwas verfeinert werden - im Grunde genommen ist nichts auf der Welt hacker- und manipulationssicher. Aber eine Frage, welche Sicherheitsmaßnahmen das Ubuntu - Projekt ergreift , um die Sicherheit von Spiegeln zu überwachen, die von anderen verwaltet werden - und das ist es, was dies fragt -, ist eine gute Frage (sowohl im Allgemeinen als auch für unsere Site im Einklang mit die FAQ).
Eliah Kagan
Ich habe es ein wenig umbenannt, um allgemeiner zu sein, was die Punkte in der Frage ansprechen sollte.
Jorge Castro
1
Weiterführende Literatur: askubuntu.com/questions/56509/…
2
Für ISOs, denke ich, können Sie MD5-Hash-Prüfung auf dem vom Spiegel heruntergeladenen ISO gegen das MD5 von der Eltern erhalten. Da es sich um dasselbe ISO handelt, sollte es dasselbe MD5 wie am übergeordneten Standort haben.
Ahmadgeo

Antworten:

16

Pakete im Ubuntu-Archiv werden mit einem GPG-Schlüssel signiert, den jeder, der versucht, Code auf dem Spiegel zu ersetzen, nicht unbedingt hat. Es wäre möglich, ein signiertes Paket zu fälschen, aber das ist nicht ganz einfach.

Sie können den mit diesen GPG-Schlüsseln signierten Paketen im Allgemeinen vertrauen. Beim Aktualisieren durch update-manageroder werden aptSie gewarnt, wenn Pakete nicht mit einem Schlüssel signiert sind, der sich im Systemschlüsselring von apt package befindet. Sie müssen die Installation solcher Pakete manuell akzeptieren. Wenn Sie diese Warnung für ein Paket sehen, das aus dem offiziellen Ubuntu-Archiv stammt, oder für einen Spiegel davon, sollten Sie das Paket wahrscheinlich nicht installieren und sofort einen Fehler darüber melden.

Bei ISOs müssen Sie die Prüfsummen-Hashes mit den Angaben auf den offiziellen Ubuntu-Servern überprüfen.

dobey
quelle
1
@dobey: Danke für die Info. Es wäre gut, wenn das Ubuntu-Projekt eine aktualisierte Liste vertrauenswürdiger Spiegelserver zur Verfügung stellen würde. Insbesondere möchte ich herausfinden, ob die Spiegel in meinem Wohnsitzland von The Ubuntu Project als vertrauenswürdig eingestuft wurden.
n00b
1
Wenn Sie Wert auf Sicherheit / Stabilität legen, sollten Sie wahrscheinlich keine PPAs hinzufügen. Die darin enthaltenen Pakete sind signiert, es gibt jedoch im Allgemeinen keine wirklichen Garantien.
Dobey
1
Ich weiß nicht, ob die Spiegelserver die GPG-Signaturen und Prüfsummen der Pakete überprüfen oder nicht. Die lokal auf Ihrem System ausgeführte Software überprüft jedoch die GPG-Signaturen.
Dobey
1
you should probably not install the package, and immediately report a bug about it. Ich denke, Laufen apt-get update, versuchen Sie es erneut, und melden Sie einen Fehler. Dies ist ein besserer Ansatz. Wenn die Verbindung während eines apt-get updateVorgangs unterbrochen wird, wird manchmal die gleiche Warnung angezeigt, wenn Sie versuchen, ein Paket zu installieren, bevor Sie das Update erneut durchführen.
Dan
1
@Die Warnungen zu diesem Zeitpunkt beziehen sich auf die Aktualisierung der Paketinformationen, nicht auf die Installation von Paketen. Hier geht es um die Installation von Paketen.
Dobey