有害なAURパッケージを認識する方法


11

yaourtを介してarch linuxにインストールされたパッケージが私のPCに有害である可能性があるかどうかをどのように認識しますか?ウィキで、インストールしたすべてのインストールを確認する必要があることを読みました。しかし、正確に何をチェックしなければならず、どのようにして悪意のあるパッケージを認識するのですか?


AURなしの公式パッケージを使用する必要があります。誰でもAURに何でもアップロードできるため、保証はありません。登録のみが必要です。AURパッケージのコメントと投票を確認してください。多分それは良い出発点です。
uzsolt 2013

Wikiの指示は、インストールを進める前にPKGBUILDを読むことです...
jasonwryan

3
@uzsoltそれはほんとにばかげています:AURにはたくさんの素晴らしいパッケージがあり、そのうちのいくつかは公式のリポジトリから移動されました。原則として、AURパッケージの使用は問題ありません。重要なのは何をインストールするかを理解することです。
jasonwryan 2013

1
疑いの余地はありませんが、aur-fooパッケージが有害であることを誰がどのようにして知ることができますか。一般的なルールやアルゴリズムはありますか?私はそうは思いません。そして、PKGBUILDの読み取りだけでは不十分です。有害なCプログラムをインストールすると思います。インストール前に完全なソースコードを読みましたか?私はコメント(レポート、警告について)と投票(多票の場合はそれほど悪くないようです)と投票をチェックする必要があると思います。私は多くのAURパッケージを使用していますが、これらのほとんどは問題ないと思います。しかし...悪魔は決して眠らない:)
uzsolt '11 / 11/13

回答:


7

実際にはそうではありませんが、コードの広範な監査を実行して、「仮想マシンを使用する」など、「外部から」コードの動作を観察する必要があります。悪意のあるパッケージを見つけるための完全な方法はなく、確かに比較的簡単に回避できない自動化された方法もありません。あなたが現実的に行うことができるいくつかのこと、どれも銀の弾丸ではありません:

  • パッケージをダウンロードして解凍し(インストールしないでください!)、解凍したファイルに対してウイルスチェックを実行します。これはいくつかのよく知られている問題を見つけることができますが、対象を絞ったハックやカスタムハックはできません。
  • 使用する前に、仮想マシンにインストールし、「不審な」ファイルにアクセスしない、外部サーバーと通信する、デーモンプロセスを独自に起動するなど、「疑わしい」ことを何も行わないことを確認してください。もちろん、たとえばX時間実行した後など、定期的にそのようなことを行う可能性があり、コードの詳細な検査なしでは知ることはできません。ルートキット検出器は、この一部を自動化できます。
  • 制限された環境にインストールしてください。SELinux、chroot刑務所、仮想マシン、個別の切断されたマシンなど、さまざまな種類のソフトウェアに問題のあるソフトウェアが含まれている可能性があります。
  • 信頼できないマシンに読み取り専用アクセス権を付与すると、貴重な(ただし秘密ではない)データを別のサーバーに配置できます。
  • 秘密データは、信頼できないマシンから到達できないマシンに配置する必要があります。通信はすべて、リムーバブルメディアを介した手動コピーである必要があります。

最後に、唯一の安全なソフトウェアはソフトウェアではありません。信頼できないソフトウェアをインストールする必要がありますか?有名で信頼できる代替品はありませんか?


さて、私はxfluxとsun JDKのwikiエントリをたどりました。あなたのガイドはAURのすべてのエントリのガイドですか、それとも広範なwiki.archlinux記事があるパッケージを信頼できますか?
lup3x 2013

4
誰が誰を信用すべきかを言うことはできません。誰が誰を信用すればいいかわからない。できることは、自分の経験、信頼で​​きる人からのアドバイス、パッケージの人気、または十分であると判断したその他のヒューリスティックに基づいて判断を下すことです。
l0b0 2013

新しいパッケージをインストールする際おかげで、私は心の中でそれを維持します
lup3x

2
@ l0b0のアドバイスを信頼するかどうかはわかりません。
スパーホーク2015

1
@Sparhawkいいですね、結局のところ私たちはインターネット上にいるので、誰を信頼するかは個人的な決定でなければなりません。
l0b0

3

前に述べたように、あなたは確かに知ることができません。

私が個人的に使用する主なヒューリスティックの1つは次のとおりです。

これを手動でインストールしようとした場合は、とにかくspotify.comからダウンロードするので、これは私の本では大丈夫です。PKGBUILDの残りの部分をざっと読んで、明らかに異常なことをしているようには見えません。もちろん、こっそりする方法はありますが、AURの悪意のあるコードの主なターゲットは、yaourtなどを使用して、ソフトウェアをインストールする前にPKGBUILDを通常は読み取らず、たとえそれが明白であっても問題を見つけられない人だと思います。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.