태그 보관물: repository

repository

어떤 우분투 리포지토리가 완전히 안전하고 멀웨어가 없는가? 리포지토리를 다운로드하여 안전하게

Android OS를 감염시키는 모든 맬웨어에 대한 뉴스를 읽었습니다. 악성 코드는 Google의 App Store에 있으며 사람들은 자신도 모르게 다운로드하여 설치하고 있습니다.

알다시피, Canonical 엔지니어가 소프트웨어를 검토하기 때문에 Ubuntu의 메인 리포지토리를 다운로드하여 안전하게 다운로드 할 수 있습니다. 그러나 다른 저장소, 특히 Universe 저장소는 어떻습니까? 유니버스 리포지토리는 맬웨어로부터 보호하기 위해 모든 종류의 검토를 받습니까? 무의식적으로 멀웨어를 다운로드하는 것에 대한 두려움 때문에 유니버스 리포지토리를 피하는 것이 좋습니다?

PPA가 검토되지 않기 때문에 특히 위험하다는 것을 읽었습니다. 그러나 Chrome PPA를 사용하는 것이 완벽하게 안전하다고 가정합니다.

따라서 메인 및 유니버스 리포지토리와 Chrome PPA 만 사용하면 무의식적으로 맬웨어를 다운로드하지 못하도록 보호됩니까?

Mark Shuttleworth와 같이 Ubuntu가 수억 명의 사용자를 확보하면 Ubuntu PPA가 오늘날 Android 용 Google App Store와 같이 Ubuntu의 맬웨어 문제가되지 않습니까?



답변

공식 우분투 리포지토리 (모두 archive.ubuntu.com또는 미러에서 찾을 수있는 모든 것을 포함 하여)는 모두 완전히 선별되었습니다. 이 수단 main, restricted, universe, multiverse,뿐만 아니라 -updates-security. 거기에있는 모든 패키지는 데비안에서 왔거나 데비안 개발자가 업로드했거나 우분투 개발자가 업로드 한 것입니다. 두 경우 모두 업로드 된 패키지는 업 로더의 gpg 서명으로 인증됩니다.

따라서 공식 아카이브의 모든 패키지가 데비안 또는 우분투 개발자에 의해 업로드되었음을 신뢰할 수 있습니다. 또한 다운로드 한 패키지는 리포지토리의 파일에있는 gpg 서명으로 확인할 수 있으므로 다운로드 한 각 패키지는 Ubuntu 또는 Debian 개발자가 업로드 한 소스에서 Ubuntu 빌드 팜에 빌드되었음을 신뢰할 수 있습니다 ¹.

이로 인해 명백한 맬웨어가 발생하지 않을 수 있습니다. 신뢰할 수있는 위치에있는 누군가가 업로드해야하며 업로드가 쉽게 트래킹 될 수 있습니다.

이것은보다 비밀스러운 사악함의 문제를 남긴다. 업스트림 개발자는 다른 유용한 소프트웨어에 백도어를 넣을 수 있으며, 이러한 아카이브로 만들 수 -에 universe또는 multiverse라이센스에 따라. 사람들은 데비안 아카이브의 보안 감사를 실행하므로이 소프트웨어가 대중화되면 백도어가 발견 될 가능성이 있습니다.

패키지는 main추가 검사가 필요하며 우분투 보안 팀으로부터 더 많은 사랑을받습니다.

PPA는이 중 거의 없습니다. PPA에서 얻을 수있는 보장은 다운로드 한 패키지가 Ubuntu 빌드 인프라를 기반으로하며 나열된 업 로더의 Launchpad 계정에있는 GPG 키 중 하나에 액세스 할 수있는 사람이 업로드 한 것입니다. 업 로더가 본인의 신원을 보증 할 수는 없습니다. 누구나 ‘Google Chrome PPA’를 만들 수 있습니다. PPA에 대한 다른 방법으로 신뢰를 결정해야합니다.

¹ :이 신뢰 체인은 Ubuntu 인프라에 대한 광범위한 침입으로 인해 손상 될 수 있지만 모든 시스템에 해당됩니다. 개발자의 gpg 키가 손상되면 블랙 햇이 패키지를 아카이브에 업로드 할 수 있지만, 아카이브가 각 패키지의 업 로더에게 이메일을 보내기 때문에이 사실을 신속하게 알 수 있습니다.


답변

업로드하기 전에 Ubuntu Repositories의 모든 패키지는 MOTU (우주 마스터)가 확인하고 검토합니다. MOTU는 우분투의 유니버스 및 멀티 버스 구성 요소의 모양을 유지하는 용감한 영혼입니다. 그들은 유니버스에있는 소프트웨어를 최대한 추가, 유지 및 지원하는 데 시간을 소비하는 커뮤니티 회원입니다. 따라서 이러한 패키지가 컴퓨터에 침입하여 데이터를 훔칠 가능성은 없습니다. 그러나 이러한 패키지에는 소프트웨어의 결함 인 보안 버그가있을 수 있습니다. 또한 일부 보안 관련 소프트웨어 (예 : 키 로거)는 Ubuntu에서 사용할 수 있지만 이러한 패키지는 사용자가 컴퓨터에 의도적으로 설치하지 않는 한 데이터를 도용하지 않습니다.

도움이 되었기를 바랍니다. 자세한 내용은 우분투 위키 페이지 MOTU 를 참조하십시오.


답변

메인 및 유니버스 리포지토리에 머무르는 것은 매우 안전하며 PPA가 특히 인기가 많거나 (대부분의 경우) PPA가 안전하다는 것을 알고 있다면 (Google 크롬 PPA와 같이) Main, Universe 및 Chrome PPA를 사용하면 안전합니다.

우분투가 많은 사용자를 얻는다면, 아마도 더 많은 맬웨어가있을 것입니다. 그래도 실제 문제가 될만큼 충분하지 않다고 생각합니다.


답변