如何确保 apt 升级不会从 PPA 中引入恶意软件?

如何确保 apt 升级不会从 PPA 中引入恶意软件?

我偶尔会添加诸如 resilio-sync 之类的 PPA 以及主要软件的最新版本。

我担心如果我进行大规模升级,这些 PPA 中的任何一个都可能提供我并不需要的版本。可能是受损的系统库,也可能不是某个特定软件的理想来源。

有没有办法锁定 PPA 以仅提供某些软件包?

(这不是重复的这一个因为这个问题是关于从 PPA 中排除特定的包......我只想允许特定的包)。

答案1

从安全角度来看,我们根本不应该使用任何 PPA。个人软件包档案的维护者将来任何时候都不会上传不需要的软件,这是无法保证的。任何人都可以成为这样的维护者。另请参阅“什么是 PPA 以及如何使用它们?“了解有关 PPA 的更多信息。

尽管如此,我们信任的维护者将来突然发布恶意软件而无人注意并阻止他们的情况似乎不太可能。不过,我们并不确定,而且没有安全团队在监视任何 PPA。

因此,最好只添加来自我们信任的来源的 PPA。之后仅有的安装单个所需的包及其依赖项时,我们应该再次删除 PPA,以避免对此包或此存档中维护的其他包进行不必要的升级。

因此,我们可以从受信任的 PPA 进行如下操作,而风险不大:

sudo apt-add-repository ppa:<user>/<ppa-name>
sudo apt-get update
sudo apt-get install <package_from_ppa>
sudo apt-add-repository --remove ppa:<user>/<ppa-name>
sudo apt-get update

相关内容