我当前的位置距离 Ubuntu 的主服务器有数千公里,因此我不得不使用其在我所在国家的一个镜像。
Ubuntu 的所有者是否采取措施定期检查其镜像站点上的文件(例如 ISO、更新、安全补丁)是否被篡改和/或恶意软件/木马是否被黑客引入?
我个人从主服务器安装和更新 Ubuntu 的经历至少花了两个小时,而当我使用我国境内的 Ubuntu 镜像站点时,同样的过程仅需 10 到 15 分钟。
答案1
Ubuntu 档案中的软件包使用 GPG 密钥签名,任何试图替换镜像上的代码的人都不一定拥有该密钥。伪造签名软件包是可能的,但这样做并不容易。
您通常可以信任使用这些 GPG 密钥签名的软件包。当通过update-manager或更新时apt,如果软件包未使用系统 apt 软件包密钥环中的密钥签名,您将收到警告。您必须手动接受此类软件包的安装。如果您看到来自官方 Ubuntu 档案库或其镜像的软件包出现此警告,您可能不应该安装该软件包,并立即报告有关它的错误。
对于 ISO,您需要使用官方 Ubuntu 服务器上的内容来验证校验和哈希值。