W jaki sposób Ubuntu zapewnia bezpieczeństwo pakietów i ISO z serwerów lustrzanych?

22

Moja obecna lokalizacja to tysiące kilometrów od głównego serwera Ubuntu i jestem zobowiązany do korzystania z jednego z jego serwerów lustrzanych w moim kraju zamieszkania.

Czy właściciele Ubuntu wdrażają środki, aby okresowo sprawdzać swoje pliki (np. ISO, aktualizacje, poprawki bezpieczeństwa) w swoich witrynach lustrzanych nie zostały naruszone i / lub złośliwe oprogramowanie / trojany nie zostały wprowadzone przez hakerów?

Moje osobiste doświadczenia z instalowaniem i aktualizowaniem Ubuntu z głównego serwera zajęły co najmniej dwie godziny, podczas gdy ten sam proces zajął zaledwie 10 do 15 minut, kiedy korzystałem z witryny lustrzanej Ubuntu dostępnej w moim kraju.

mirrors n00b
źródło
11
@ głosujący na głos: proszę wyjaśnij, dlaczego głosowałeś na głos w krótkim komentarzu; jeśli cokolwiek, rozważę to pytanie, przynajmniej próbę wyrażenia uzasadnionej troski. Jeśli masz podstawy, by sądzić, że nie musisz się tym martwić, proszę wyjaśnij dlaczego. Dziękuję Ci.
orzechowy o natty
9
Zamknij wyborców: To nie jest poza tematem. Może się przydać pewne udoskonalenie - w gruncie rzeczy nic na świecie nie jest odporne na hakerów i próby manipulacji. Ale pytanie, jakie środki bezpieczeństwa są podejmowane przez projekt Ubuntu w celu monitorowania bezpieczeństwa serwerów lustrzanych, które są utrzymywane przez innych - to jest to pytanie - jest dobre (zarówno ogólnie, jak i dla naszej witryny zgodnie z FAQ).
Eliah Kagan
Zmieniłem to nieco, aby być bardziej ogólnym, który powinien odnosić się do punktów w pytaniu.
Jorge Castro
1
Powiązana lektura: askubuntu.com/questions/56509/…
2
W przypadku ISO myślę, że możesz wykonać sprawdzenie skrótu MD5 dla ISO pobranego z kopii lustrzanej względem MD5 uzyskanego od rodzica. Ponieważ jest to ten sam ISO, powinien mieć taki sam MD5 jak w witrynie nadrzędnej.
Ahmadgeo

Odpowiedzi:

16

Pakiety w archiwum Ubuntu są podpisane kluczem GPG, który nie musi mieć każdy, kto próbuje zamienić kod w kopii lustrzanej. Możliwe byłoby sfałszowanie podpisanego pakietu, ale nie jest to zbyt trywialne.

Ogólnie można ufać pakietom podpisanym za pomocą tych kluczy GPG. Podczas aktualizacji za pośrednictwem update-managerlub aptzostaniesz ostrzeżony, gdy pakiety nie zostaną podpisane za pomocą klucza, który znajduje się w systemowym zestawie kluczy. Będziesz musiał ręcznie zaakceptować instalację takich pakietów. Jeśli zobaczysz to ostrzeżenie dla pakietu pochodzącego z oficjalnego archiwum Ubuntu lub jego kopii lustrzanej, prawdopodobnie nie powinieneś instalować pakietu i natychmiast zgłosić błąd.

W przypadku ISO musisz zweryfikować sumę kontrolną sumy kontrolnej z danymi na oficjalnych serwerach Ubuntu.

dobey
źródło
1
@ dobey: Dzięki za informację. Byłoby dobrze, gdyby Projekt Ubuntu przedstawił zaktualizowaną listę zaufanych serwerów lustrzanych; w szczególności chciałbym dowiedzieć się, czy mirrory w moim kraju zamieszkania są certyfikowane jako zaufane przez The Ubuntu Project.
n00b
1
Jeśli zależy Ci na bezpieczeństwie / stabilności, prawdopodobnie nie powinieneś dodawać PPA. Paczki w nich są podpisane, ale ogólnie nie ma z nimi prawdziwych gwarancji.
dobey
1
Nie wiem, czy serwery dublujące weryfikują podpisy GPG i sumy kontrolne pakietów, czy nie. Lokalnie uruchamiane oprogramowanie w systemie sprawdza jednak sygnatury GPG.
dobey
1
you should probably not install the package, and immediately report a bug about it. Myślę, że bieganie apt-get update, spróbuj ponownie, a następnie zgłoszenie błędu to lepsze podejście. Czasami, jeśli połączenie zostanie przerwane w trakcie apt-get update, pojawi się to samo ostrzeżenie, jeśli spróbujesz zainstalować pakiet przed ponowną aktualizacją.
Dan
1
@ Czy ostrzeżenia w tym czasie dotyczą aktualizacji informacji o pakiecie, a nie instalacji pakietów. Chodzi o instalację pakietów.
dobey