Ubuntuは、ミラーからのパッケージとISOが安全であることをどのように保証しますか?


22

私の現在の場所は、Ubuntuのメインサーバーから数千キロ離れているため、私の居住国でそのミラーの1つを使用する義務があります。

Ubuntuの所有者は、ミラーサイトのファイル(ISO、更新、セキュリティパッチなど)を定期的にチェックする手段を実装しており、ハッカーによって改ざんされていないか、マルウェア/トロイの木馬が導入されていませんか?

メインサーバーからUbuntuをインストールおよび更新する私の個人的な経験は少なくとも2時間かかりましたが、同じプロセスは私の国で利用可能なUbuntuミラーサイトを使用したときわずか10〜15分でした。


11
@下票:plzは、あなたが短いコメントで下票した理由を説明します。少なくとも、この質問は正当な懸念を表明するための努力であると考えます。心配する必要がないと信じる根拠があれば、その理由を説明してください。ありがとうございました。
ナッツについてのナッツ

9
有権者を閉じる:これはトピック外ではありません。結局のところ、いくつかの改良点からの恩恵を受ける可能性があります-本質的には、ハッカーや改ざん防止が本質的には世界にはないのです。しかし、他の人が維持しているミラーのセキュリティを監視するためにUbuntuプロジェクトがどのようなセキュリティ対策を講じているのかを尋ねる質問は、これが求めていることです-一般的に、そして私たちのサイトではFAQ)。
エリアケイガン

私はそれを少し一般的なものに改名し、問題のポイントに対処する必要があります。
ホルヘカストロ


2
ISOの場合、ミラーからダウンロードしたISOに対して、親から取得したMD5に対してMD5ハッシュチェックを行うことができます。これは同じISOであるため、親サイトと同じMD5を持つ必要があります。
アフマゲオ

回答:


16

Ubuntuアーカイブ内のパッケージはGPGキーで署名されていますが、ミラー上のコードを置き換えようとする人が持っているとは限りません。署名されたパッケージを偽造することは可能ですが、そうすることはそれほど簡単ではありません。

通常、これらのGPGキーで署名されたパッケージを信頼できます。更新する場合、update-managerまたはaptシステムaptパッケージキーリングにあるキーでパッケージが署名されていない場合、警告が表示されます。そのようなパッケージのインストールを手動で受け入れる必要があります。公式のUbuntuアーカイブまたはそのミラーからのパッケージに対してこの警告が表示された場合は、おそらくパッケージをインストールせずに、すぐにバグについて報告してください。

ISOの場合は、チェックサムハッシュを公式のUbuntuサーバーにあるものと検証する必要があります。


1
@ dobey:情報をありがとう。Ubuntu Projectが信頼できるミラーの更新されたリストを提供してくれるといいでしょう。特に、私の居住国のミラーがUbuntuプロジェクトによって信頼されていると認定されているかどうかを確認したいと思います。
n00b

1
セキュリティ/安定性に関心がある場合は、おそらくPPAを追加しないでください。それらのパッケージには署名が付いていますが、一般的には実際の保証はありません。
ドビー

1
ミラーサーバーがパッケージのGPG署名とチェックサムを検証するかどうかはわかりません。ただし、システムでローカルに実行されるソフトウェアはGPG署名をチェックします。
ドビー

1
you should probably not install the package, and immediately report a bug about it。実行してapt-get update、もう一度試してからバグを報告する方が良い方法だと思います。ときに接続が切断されたapt-get update場合、パッケージを再度インストールする前にインストールしようとすると、同じ警告が表示されることがあります。
ダン

1
@Danその時点での警告は、パッケージのインストール中ではなく、パッケージ情報の更新中です。これはパッケージのインストールに関するものです。
ドビー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.