我们使用本地的Ubuntu存储库镜像,因为我们的外部stream量不是免费的。 每当我apt-get install "program"它从该存储库中获取。
问题是,存储库的维护者可以用自己的包来replace存储库上的任何包吗?
我可以在任何apt-get upgrade或apt-get install或apt-get dist-upgrade轻松入侵吗?
我们从本地Ubuntu镜像中获得非常基本的软件包,比如“telnet”或其他。
虽然有足够的机制来保证回购,包括软件包签名等,但它们只是像维护者一样安全。 一个pipe理不善的第三方回购被黑客攻击或由恶意个人运行,确实可以安装恶意软件。
没有。
所有软件包和索引(Packages.gz,Sources.gz,…)都应该使用GPG密钥进行签名。 另外,apt使用md5sum来validation它是否下载了包索引文件的正确副本。
如果有人replace或修改了包裹,包裹将不再符合GPG标志。
Debian和Ubuntu APT版本库在一个软件包可供下载之前有多个级别的检查。 开发人员对软件包的最初上载是通过GPG进行签名的,同时在包含软件包上传的单个文件中包含多个校验和,然后在接受校验和之前validationGPG签名。 然后,存储库本身拥有自己的GPG密钥,该密钥用于签署列出存储库中可用软件包的版本文件。 存储库的发行版文件还包含各种基于APT的安装实用程序随后validation的校验和数据以及发行文件本身的GPG签名。
因此,从开发人员的上传维护软件包下载和安装在您的本地机器有一种方法来validation没有被篡改或改变。