假设我在一个可靠性不高的网站上发现了一个 deb 文件,但不能保证它安装的软件完全按照预期的方式运行。因此它安装的软件有可能是恶意的。
从 deb 文件安装时我是否需要(或最好)专门做?
很多deb文件默认将软件安装在系统目录下,那么如果可能的话,这样安装的软件是否比安装在非系统目录下的软件危害更大呢?
谢谢。
答案1
假设我收到一个 deb 文件,但不能保证它安装的软件完全按照预期执行。
总是存在这样的情况:无法保证软件完全按照预期执行任务。
安装软件包时的第一个主要风险发生在安装本身期间:软件包可以提供以 root 身份运行的维护者脚本,并且可以对系统执行任何他们想要的操作。但是,您可以在安装之前检查这些:
dpkg-deb -R /path/to/package.deb /tmp/extracted
然后查看 中的文件/tmp/extracted/DEBIAN。
每次运行软件时都会出现第二个主要风险。除了避免PATH相关问题之外,安装目录对此没有任何影响。该软件将可以访问其运行的用户可访问的任何内容:所有可读文件、可访问设备(包括网络摄像头、麦克风等)、包括互联网在内的网络资源、其他窗口的内容(如果它在 X 下运行)...所有这些都可以在一定程度上得到缓解:
- 以其他用户身份运行将限制对文件和设备的访问(假设您的权限设置适当);
- 在不同的网络命名空间中运行将阻止访问网络资源;
- 在 Wayland 而不是 X 下运行将阻止访问 Wayland 驱动的窗口。
最安全的方法是在虚拟机中安装并运行此类软件。
答案2
首先,对于所有 Debian 的东西:
在适用法律允许的范围内,Debian GNU/Linux 不附带任何保证
.deb所以基本上,这个问题与您安装的每个产品都相关。
您可以采取多种预防措施:
- 仅从可信来源下载;
- 检查你的哈希值(
apt-get应该适合你) - 不要安装“狡猾”的软件
软件在执行时可能会造成伤害。文件位于何处,/usr/bin甚至/opt/...位于您的主目录中,都无关紧要。它造成的危害程度取决于执行该软件的 uid。 Root 权限比普通用户造成的危害更大。