Linux 二进制包的安全性有保障吗?

tag-icon tag-icon linux security linux-distributions packages
Linux 二进制包的安全性有保障吗?

大多数 Linux 发行版都是“二进制”的,即用户安装二进制、预构建的软件包。但能保证软件包是从原样源软件包构建的吗?

您如何知道发行版的构建过程是完整的?我找不到关于这一点的任何陈述。对于某些第三方(例如组织,如果存在这样的组织)来说,检查它会非常困难,因为它涉及引导整个环境。

答案1

大多数 Linux 发行版都是“二进制”的,即用户安装二进制、预先构建的软件包。

不一定,用户可以选择以何种方式进行操作。你可以将 Ubuntu 变成 Gentoo,也可以将 Gentoo 变成 Ubuntu,这取决于你选择如何操作。当然,安装 Ubuntu 以使用其包管理器并继续使用预构建的包是有意义的。

至于统计数字,我不确定“大多数”是否如此,但据我所知,这与您的问题无关。

但是,能保证软件包是从原样源软件包构建的吗?换句话说,你怎么知道发行版的构建过程是完整的?对于某些第三方(比如组织,如果存在的话)来说,检查它会非常困难,因为这将涉及引导整个环境。

除非有人监督它们构建过程,并且您信任会这样做的实例,否则您将永远无法获得保证,但在开源世界中,这种情况很少发生。当然,一些发行版会“修补”用户代码,使其在他们的发行版和用户上运行,而无需等待上游应用或甚至首先同意某些修补程序。

确实,除非他们公布他们的配置、使用的源代码和补丁,否则你无法复制完全相同的二进制文件。因此,即使采用这种方式检查也不容易……

人们常说 Linuces 比 Microsoft Win 更安全,但我不这么认为。

我永远不会说这种话,因为你不可能知道到底是怎么回事。这简直就是在比较苹果和梨。Linux 是开源的,拥有大量开发人员。

尝试订阅 LKML 邮件列表,这个列表的邮件量相当大,而且这只是内核邮件列表;然后还有更多的邮件列表,例如一个用于笔记本电脑的邮件列表。除了邮件列表之外,你还有一个流量也相当高的 bugzilla。但你也可以通过内核中随时间变化的代码量来判断很多。好吧,那只是内核。

另一方面,Windows 是闭源的;这使得发现安全问题变得更加困难,因为你必须从外部进行逆向工程。虽然已经存在大量有关 Microsoft 内部的文档(Microsoft 本身以广泛的方式提供;黑客以更详细的方式提供),但人们不必从头开始。但这仍然使发现问题变得非常困难。一旦有人发现此类问题,并将该问题与 Microsoft 共享(在披露范围内)或将其传播到更公开的地方,他们会在合理的时间内处理它。

所以,是的,这实际上是两种不同的方法,你无法分辨哪一种更安全。我的意思是,如果我知道 Linux 中的一个安全问题,我只能看到它们过去,而且它们只有在进入每个用户的稳定内核时才会被修补(这也需要时间)。在 Windows 上,它们不是那么开放,你必须仔细寻找它,或者幸运地在网上找到一个未修补的漏洞;但是一旦它们被关闭,Windows 更新通常会确保它们在所有地方都得到修补,所以我称这个漏洞为 Windows 漏洞,比 Linux 漏洞窗口小得多。

忽略这一方面,你还会看到,使用 Windows 并以 Windows 为目标的人要多得多;因此,每当 Windows 上发生与安全相关的事件时,它都会成为全球新闻的焦点;而在 Linux 上,它主要出现在一些新闻网站、邮件列表和 Bugzilla 上。我不认为这种数量差异可以弥补一种产品是否比另一种更安全。两者都是由人编写的,都包含错误,都得到了修补;唯一的区别是闭源与开源,两者都有自己的世界。我不会比较两者。

这些都还有待商榷,但我认为这永远不会得出客观的结论。

如果特工要担任微软工程师,他们就得冒着身体危险。

我认为微软的人为失误从未导致过死亡。

他们肯定已经采取了足够的措施来避免非常糟糕的事情发生。

但是他们不需要以 Linux 发行版开发人员的身份与任何人见面。(重点是侵入 Linux 一定非常容易。...

你不一定要这么做,但如果你搞砸了,人们可能会试图与你见面。

对于 Linux 内核开发人员来说,请确保您的补丁经过大量审查,并且不会轻易将错误引入内核。

...忘记微软吧,众所周知它充满了漏洞。)

和 Linux 一样脆弱,除非有人证明不是这样。你可能认为它更容易受到攻击的原因只是因为更多人使用和瞄准它,所以它更像上面所说的那样成为新闻。Linux 的低容量并不能让你意识到它的漏洞,但如果你仔细观察,你会发现它们确实存在。他们发明强化内核不是毫无意义的,而且它可能仍然不是完全安全的……

相信使用其他操作系统会让你更安全是一种虚假的安全感。

没有理由相信美国或共产主义中国(或摩萨德、俄罗斯等)忽视 Linux。

也没有理由相信美国或共产主义中国只使用 Linux。

这完全是脱离背景并且带有主观色彩的,我会完全忽略它……

多年来,我一直在寻求摆脱基于源的发行版 Gentoo,但却惨遭失败。

我们始终愿意在 FreeNode 的 #gentoo 上为您提供帮助,我是那里的 TomWij。

已经使用 Gentoo 有一段时间了,非常喜欢它......

(虽然这个问题不是主要关注点。我也不声称这些来源没有后门。)

确实,即使你修补了其中的大部分,你也会在其他地方引入其他内容;这是回归。

相关内容