到目前为止,我都会通过软件包中提供的 UBUNTU 官方更新管理定期接收更新。由于意识到任何类型的恶意软件威胁,我想知道恶意人士是否能够破解这些程序并伪造或恶意修改官方 UBUNTU 更新。谁能告诉我有关这些风险的更多信息?
谨致问候,Pitor
答案1
如果他们可以破解 Ubuntu 存储库使用的 gpg 密钥,那么他们就拥有了完全的控制权。否则,存储库中 gpg 签名的软件包是完全安全的,apt 会在安装前检查签名,如果没有签名或签名不正确,它会拒绝安装软件包或来自没有您机器上的安全密钥环中的密钥的存储库。它被称为信任网,它从上传并必须使用个人密钥对每件事进行签名的开发人员到处理软件包的所有机器。在此过程中,所有内容都经过签名和检查。
答案2
Rinzwind 已经回答了这个问题:@Pitor 所使用的方法仍然很完美,并且随着时间的推移不断进行调整,但总体思路非常牢固,尚未被破坏(目前 :) )。:D – Rinzwind
我对这个结论感到满意,因为我相信 UBUNTU 方面的发展也将继续,所以希望 UBUNTU 能够始终领先于恶意软件,特别是在更新部门。