保护本地 Ubuntu 镜像并防止其同步恶意包的最佳做法是什么?

保护本地 Ubuntu 镜像并防止其同步恶意包的最佳做法是什么?

背景-

我们公司继承了 2 台本地服务器,它们使用 apt-mirror 镜像官方 Canonical Ubuntu 存储库以用于选定发行版。这些服务器应该每晚同步,尽管最初只有 SERVER1 指向官方 Canonical 镜像,而 SERVER2 从 SERVER1 镜像 trusty 和 precise。本周,我们决定将 SERVER2 指向官方 Canonical 服务器,并最终开始镜像 xenial。当 apt-mirror 同步 xenial 时,我们的安全团队检测到恶意包(下面的哈希值),我们中止了同步。现在我的经理想确保我们已采取措施防止将罪魁祸首包(下面的文件哈希值)下载到我们的镜像中。虽然我同意她的理由,但我对将来可以做些什么来防止这种情况的发生感到困惑,并且有点困惑为什么 SERVER1 同步没有被标记,尽管自 2016 年 8 月以来镜像 xenial 并且配置与 SERVER2 几乎相同。

问题-

有哪些方法可以验证这些是真正的恶意攻击还是误报?是否有任何可信赖的在线资源可以跟踪标记的软件包以供参考?

我还能做些什么来验证/防止我们没有删除恶意内容?

由于我最初没有配置这些服务器,所以可能我在这里遗漏了一些东西,如果我应该在帖子中添加任何其他信息,请告诉我。

恶意文件哈希

93a8f31b06c4a7f04e6f9b69f8d7357ba750819e6348177536b23255616e8937 sup-mail_0.12.1 git20120407.aaa852f.orig.tar[.]gz
7bb478a4f9512e1dfe77c658f0410d62d9af91cedc35ee7aaaff6bc9a56d7f85 pymilter_0.9.5.orig.tar[.]gz
e2f29a94e4b3fb17e4c0d1f03f5733d0e944211bfbf9a9e52d5214e51da196d7 pymilter-milters_0.8.13.orig.tar[.]gz
9fcb05a0951527c7b33aeb20735747f84bca88a4e122c93537120d1014f650e9 dbacl_1.12.orig.tar[.]gz 
c09620afb90dcb1055b7c23dad622994e9bf455afe7e5683eca987a20e1dbbcb sup-mail_0.22.1.orig.tar[.]gz
c9f2c8327d0e8dd28058f148c663a62d7eda72f06c56e4dda128fca847b8327f sup-mail_0.12.1 git20120407.aaa852f.orig.tar[.]gz

SERVER1 Xenial 镜像列表配置:

#amd64 mirrors for xenial
deb http://archive.ubuntu.com/ubuntu xenial main restricted universe   multiverse
deb http://archive.ubuntu.com/ubuntu xenial-updates main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-security main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-proposed main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-backports main restricted universe multiverse
deb http://archive.canonical.com xenial partner
deb http://archive.ubuntu.com/ubuntu xenial main/debian-installer restricted/debian-installer
deb http://archive.ubuntu.com/ubuntu xenial-updates main/debian-installer restricted/debian-installer
deb http://archive.ubuntu.com/ubuntu xenial-proposed main/debian-installer restricted/debian-installer
deb http://archive.ubuntu.com/ubuntu xenial-security main/debian-installer restricted/debian-installer
deb http://ppa.launchpad.net/webupd8team/java/ubuntu xenial main

SERVER2 Xenial 镜像列表配置:

#amd64 mirrors for xenial
deb http://archive.ubuntu.com/ubuntu xenial main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-updates main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-security main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-proposed main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu xenial-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu xenial main restricted universe multiverse
deb http://archive.canonical.com/ xenial partner
deb http://archive.ubuntu.com/ubuntu xenial main/debian-installer restricted/debian-installer

如果我可以提供任何其他信息来更好地回答这个问题,请告诉我。提前谢谢!

相关内容