在安装各种程序时,系统会要求我下载一些程序运行所需的软件包。其中一些是知名的应用程序,其自述文档值得信赖,而另一些不太知名的程序则需要小心谨慎。
因此,我正在尝试安装一款名为 Tennis Elbow 的游戏,其中自述文档写道:
在 Ubuntu 14.10 64 位上,以下指令已被报告有效:
sudo apt-get install libcurl3:i386 sudo apt-get install libvorbisfile3:i386
那么,我们如何知道我下载的文件是否安全?
我知道这似乎不止一个问题,但我基本上需要这个游戏才能运行,所以我只需要知道安装提到的软件包是否安全。
答案1
是否可以使用 apt-get 安装恶意程序?当然可以,但这需要计算机列出的存储库中有恶意软件。能发生:
如果您添加了恶意存储库,它可能会提供恶意软件包。例如,PPA 可能包含恶意代码。它们还可以提供任何包(他们可以提供一个
ubuntu-minimal
替代品,会感染所有人。但不仅仅是 PPA。主存储库中的软件可能会被感染,原因可能是 Ubuntu 维护者遭到黑客攻击或心怀不满,也可能是 Debian 上游维护者遭到黑客攻击或心怀不满,或者原始开发人员遭到黑客攻击或心怀不满,而不良代码未被发现。
有人以某种方式设法拦截您的网络流量,并且还以某种方式设法签署软件包清单或更改二进制包而不更改软件包校验和。
两者都是难以置信除非你添加了随机密钥,否则不太可能,但即使这样,如果不至少部分在现场,也很难做到这一点。这是一个相当复杂的黑客攻击。
但这些可能存在吗?它会提示你安装恶意软件吗?
不。它只是要求您安装这些库的 32 位版本,因为它使用它们,但是针对它们的 32 位版本进行编译。
但它们是什么?libcurl3
用于在应用程序内下载内容, libvorbisfile3
用于解码沃比斯编码音频。
软件包名称末尾:i386
的 表示。它指定了体系结构。在 Ubuntu 中,我们用i386
表示 32 位,它实际上是用 i686 处理器指令编译的。
如果您对任何事情都心存疑虑,那么从随机网站下载并运行闭源二进制文件才是真正的危险。