W jaki sposób Ubuntu zapewnia bezpieczeństwo pakietów i ISO z serwerów lustrzanych?

Moja obecna lokalizacja to tysiące kilometrów od głównego serwera Ubuntu i jestem zobowiązany do korzystania z jednego z jego serwerów lustrzanych w moim kraju zamieszkania.

Czy właściciele Ubuntu wdrażają środki, aby okresowo sprawdzać swoje pliki (np. ISO, aktualizacje, poprawki bezpieczeństwa) w swoich witrynach lustrzanych nie zostały naruszone i / lub złośliwe oprogramowanie / trojany nie zostały wprowadzone przez hakerów?

Moje osobiste doświadczenia z instalowaniem i aktualizowaniem Ubuntu z głównego serwera zajęły co najmniej dwie godziny, podczas gdy ten sam proces zajął zaledwie 10 do 15 minut, kiedy korzystałem z witryny lustrzanej Ubuntu dostępnej w moim kraju.

mirrors

— n00b
źródło

@ głosujący na głos: proszę wyjaśnij, dlaczego głosowałeś na głos w krótkim komentarzu; jeśli cokolwiek, rozważę to pytanie, przynajmniej próbę wyrażenia uzasadnionej troski. Jeśli masz podstawy, by sądzić, że nie musisz się tym martwić, proszę wyjaśnij dlaczego. Dziękuję Ci.

— orzechowy o natty

Zamknij wyborców: To nie jest poza tematem. Może się przydać pewne udoskonalenie - w gruncie rzeczy nic na świecie nie jest odporne na hakerów i próby manipulacji. Ale pytanie, jakie środki bezpieczeństwa są podejmowane przez projekt Ubuntu w celu monitorowania bezpieczeństwa serwerów lustrzanych, które są utrzymywane przez innych - to jest to pytanie - jest dobre (zarówno ogólnie, jak i dla naszej witryny zgodnie z FAQ).

— Eliah Kagan

Zmieniłem to nieco, aby być bardziej ogólnym, który powinien odnosić się do punktów w pytaniu.

— Jorge Castro

Powiązana lektura: askubuntu.com/questions/56509/…

W przypadku ISO myślę, że możesz wykonać sprawdzenie skrótu MD5 dla ISO pobranego z kopii lustrzanej względem MD5 uzyskanego od rodzica. Ponieważ jest to ten sam ISO, powinien mieć taki sam MD5 jak w witrynie nadrzędnej.

— Ahmadgeo

Pakiety w archiwum Ubuntu są podpisane kluczem GPG, który nie musi mieć każdy, kto próbuje zamienić kod w kopii lustrzanej. Możliwe byłoby sfałszowanie podpisanego pakietu, ale nie jest to zbyt trywialne.

Ogólnie można ufać pakietom podpisanym za pomocą tych kluczy GPG. Podczas aktualizacji za pośrednictwem update-managerlub aptzostaniesz ostrzeżony, gdy pakiety nie zostaną podpisane za pomocą klucza, który znajduje się w systemowym zestawie kluczy. Będziesz musiał ręcznie zaakceptować instalację takich pakietów. Jeśli zobaczysz to ostrzeżenie dla pakietu pochodzącego z oficjalnego archiwum Ubuntu lub jego kopii lustrzanej, prawdopodobnie nie powinieneś instalować pakietu i natychmiast zgłosić błąd.

W przypadku ISO musisz zweryfikować sumę kontrolną sumy kontrolnej z danymi na oficjalnych serwerach Ubuntu.

— dobey
źródło

@ dobey: Dzięki za informację. Byłoby dobrze, gdyby Projekt Ubuntu przedstawił zaktualizowaną listę zaufanych serwerów lustrzanych; w szczególności chciałbym dowiedzieć się, czy mirrory w moim kraju zamieszkania są certyfikowane jako zaufane przez The Ubuntu Project.

— n00b

Jeśli zależy Ci na bezpieczeństwie / stabilności, prawdopodobnie nie powinieneś dodawać PPA. Paczki w nich są podpisane, ale ogólnie nie ma z nimi prawdziwych gwarancji.

— dobey

Nie wiem, czy serwery dublujące weryfikują podpisy GPG i sumy kontrolne pakietów, czy nie. Lokalnie uruchamiane oprogramowanie w systemie sprawdza jednak sygnatury GPG.

— dobey

you should probably not install the package, and immediately report a bug about it. Myślę, że bieganie apt-get update, spróbuj ponownie, a następnie zgłoszenie błędu to lepsze podejście. Czasami, jeśli połączenie zostanie przerwane w trakcie apt-get update, pojawi się to samo ostrzeżenie, jeśli spróbujesz zainstalować pakiet przed ponowną aktualizacją.

— Dan

@ Czy ostrzeżenia w tym czasie dotyczą aktualizacji informacji o pakiecie, a nie instalacji pakietów. Chodzi o instalację pakietów.

— dobey