it-swarm.com.de

Wie stellt Ubuntu sicher, dass Pakete und ISOs von Spiegeln sicher sind?

Mein aktueller Standort ist Tausende von Kilometern vom Hauptserver von Ubuntu entfernt und ich bin verpflichtet, einen seiner Spiegel in meinem Wohnsitzland zu verwenden.

Implementieren die Besitzer von Ubuntu Maßnahmen, um ihre Dateien (z. B. ISOs, Updates, Sicherheitspatches) auf ihren Mirror-Sites regelmäßig zu überprüfen, und/oder Malware/Trojaner wurden von Hackern nicht eingeführt?

Meine persönlichen Erfahrungen mit der Installation und Aktualisierung von Ubuntu vom Hauptserver aus haben mindestens zwei Stunden gedauert, wohingegen derselbe Vorgang nur 10 bis 15 Minuten gedauert hat, als ich die in meinem Land verfügbare Ubuntu Mirror-Site verwendet habe.

21
n00b

Pakete im Ubuntu-Archiv sind mit einem GPG-Schlüssel signiert, den jeder, der versucht, Code auf dem Spiegel zu ersetzen, nicht unbedingt hat. Es wäre möglich, ein signiertes Paket zu fälschen, aber das ist nicht ganz einfach.

Sie können den mit diesen GPG-Schlüsseln signierten Paketen im Allgemeinen vertrauen. Wenn Sie ein Update über update-manager oder apt durchführen, werden Sie gewarnt, wenn Pakete nicht mit einem Schlüssel signiert sind, der sich im Systemschlüsselring von apt package befindet. Sie müssen die Installation solcher Pakete manuell akzeptieren. Wenn Sie diese Warnung für ein Paket sehen, das aus dem offiziellen Ubuntu-Archiv stammt, oder für einen Spiegel davon, sollten Sie das Paket wahrscheinlich nicht installieren und sofort einen Fehler darüber melden.

Bei ISOs müssen Sie die Prüfsummen-Hashes mit den Angaben auf den offiziellen Ubuntu-Servern überprüfen.

15
dobey