我如何确保更新的软件包没有受到损害?

我如何确保更新的软件包没有受到损害?

尝试安装时,tmux我收到一个错误Untrusted packages could compromise your system's security,类似于此主题。我运行aptitude update并安装包,没有出现问题,但我担心更新可能已被破坏。当我看到更新是在没有 SSL(http 地址)的情况下完成时,我的担忧加剧了:

 - neptune():~$ sudo aptitude update
Ign http://il.archive.ubuntu.com quantal InRelease
Ign http://il.archive.ubuntu.com quantal-updates InRelease
Ign http://il.archive.ubuntu.com quantal-backports InRelease
Get: 1 http://il.archive.ubuntu.com quantal Release.gpg [933 B]
Get: 2 http://il.archive.ubuntu.com quantal-updates Release.gpg [933 B]
Get: 3 http://il.archive.ubuntu.com quantal-backports Release.gpg [933 B]
Hit http://il.archive.ubuntu.com quantal Release
Get: 4 http://il.archive.ubuntu.com quantal-updates Release [49.6 kB]
Ign http://security.ubuntu.com quantal-security InRelease
Ign http://archive.canonical.com quantal InRelease
Ign http://extras.ubuntu.com quantal InRelease
Ign http://dl.google.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease
Ign http://deb.opera.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease

编辑:我现在已经意识到针对以色列网站的攻击4 月 7 日的攻击已经开始。因此,人们越来越怀疑服务器遭到入侵。如果有必要,我可以找到有关这次攻击的更多信息,尽管在广泛的英语新闻网站上我没有看到太多关于这次攻击的提及。

澄清:我问的是,如何确保我已经下载并安装了并未受到损害。我并不是在问 Canonical 如何确保 repos 的安全性。

答案1

我无法告诉你你是如何做到的全部包,但这里有一个针对单个包的可能程序。

警告:我建议使用的网站(奇怪的是)不支持https然而 - 因此你不能确定你是否真的在与正确的网站交谈,这使得检查远没有预期的有用 - 正如 Eliah Kagan 在评论中指出的那样。

  1. 访问packages.ubuntu.com
  2. 选择你的发行版
  3. 选择“所有包”(在底部)
  4. 查看/var/cache/apt/archives并选择可疑的包裹(例如日期较近的包裹)
  5. sha256sum针对该包运行
  6. 在网站上选择该套餐,您将获得 在此处输入图片描述
  7. 点击下面的链接建筑学 在此处输入图片描述
  8. 将步骤 5 的结果与发布的值进行比较。

答案2

不用担心。

正如 Eliah 所解释的那样他的评论,APT 使用 GnuPG 进行保护。Ubuntu 档案的公钥已安装在您的系统上,您应该检查这些公钥。每次下载后,都会通过 GPG/PGP 签名检查文件的完整性,因此您可以确保没有人篡改过。如果失败,您将看到与最初收到的警告完全相同的警告。

这里更详细地解释了如何查找和验证密钥:Ubuntu 社区维基:SecureApt

使用 SSL 不会使其更安全。你和存档服务器之间所有同行之间唯一需要隐藏的是什么你正在传输/下载,它不会保护任何与正直

相关内容