随着Linux的不断发展,我们使用Linux的时间越长,来自病毒的威胁就越大。
我们还知道,Linux 中的病毒/威胁(如果有的话)在以普通用户身份运行时会很难运行或传播,但如果病毒/威胁以 root 用户身份运行,情况就不同了。
这种危险的例子是,如果病毒被藏在 PPA 中(有意或无意),或者应用程序有故意植入的后门(例如,pidgin 可以秘密地将密码发送到特定地址)。
如果我们从 Launchpad PPA 添加软件,是否可以保证该软件不受免费病毒/后门威胁?
答案1
每个软件包的安装脚本都具有对您系统的 root 访问权限,因此仅仅添加 PPA 或从 PPA 安装软件包的行为就表明了您对 PPA 所有者的信任。
那么,如果你的信任被误解,而 PPA 所有者想要不忠,会发生什么情况呢?
为了上传到 PPA,软件包必须由 launchpad 用户独有的 GPG 密钥签名(实际上,他们用相同的密钥签署了行为准则)。因此,如果出现已知的恶意 PPA,我们只需禁止该帐户并关闭 PPA(受影响的系统仍会受到损害,但无论如何,此时没有很好的方法可以修复它们)。
在某种程度上,Launchpad 的社交功能可以作为预防不良用户的措施——例如,曾经为 Ubuntu 做出贡献并在 Launchpad 上积累了一定声誉的人就不太可能设置 PPA 陷阱。
或者如果有人获得了不属于他们的 PPA 的控制权会怎么样?
好吧,这是一个更棘手的威胁场景,但可能性也较小,因为它要求攻击者获得启动板用户的私钥文件(通常只在他们的计算机上)以及它的解锁代码(通常是一个不用于其他任何用途的强密码)。但是,如果发生这种情况,通常很容易有人发现他们的帐户已被盗用(例如,启动板会向他们发送电子邮件,告知他们未上传的软件包),清理过程也是一样的。
因此,总而言之,PPA 是恶意软件的潜在载体,但攻击者可能有更简单的方法来攻击你。
答案2
建立(可能是分布式的)电力购买协议信任评级机制一直是南加州大学路线图已经有一段时间了,但尚未实施。
答案3
虽然没有任何保证,但在社区支持的环境中,我们依靠“信念”茁壮成长。我已经在我的源中添加了至少 20 个 PPA,到目前为止从未遇到过问题。如果恰巧如您所说,PPA 在我的系统中植入了威胁/病毒/后门,我会以某种方式通过社区得知并直接将其删除。顺便说一句,在添加 PPA 之前,我总是检查其中列出的软件包。
附言:Pidgin 绝不会“秘密”地将用户名和密码发送到服务器(也绝不会发送给第三方!)。一切都是在用户同意的情况下进行的。为了让您无缝连接,Pidgin 无法在每次将登录凭据发送到服务器时都 ping 您。一旦您向它提供了详细信息,就需要您授权它这样做。在将 Pidgin 称为“后门”之前,我宁愿三思而后行。:)