Lokasi saya saat ini adalah ribuan kilometer dari server utama Ubuntu dan saya berkewajiban untuk menggunakan salah satu mirrornya di negara tempat saya tinggal.
Apakah pemilik Ubuntu menerapkan langkah-langkah untuk secara berkala memeriksa file mereka (mis. ISO, pembaruan, patch keamanan) di situs mirror mereka belum dirusak dan / atau malware / trojan belum diperkenalkan oleh peretas?
Pengalaman pribadi saya dengan menginstal dan memperbarui Ubuntu dari server utama membutuhkan setidaknya dua jam sedangkan proses yang sama hanya memakan waktu 10 hingga 15 menit ketika saya menggunakan situs mirror Ubuntu yang tersedia di negara saya.
Jawaban:
Paket dalam arsip Ubuntu ditandatangani dengan kunci GPG, yang tidak dimiliki siapa pun yang mencoba mengganti kode di mirror. Adalah mungkin untuk memalsukan paket yang ditandatangani, tetapi tidak sepele untuk melakukannya.
Anda biasanya dapat mempercayai paket yang ditandatangani dengan kunci GPG ini. Saat memperbarui melalui
update-manager
atauapt
Anda akan diperingatkan ketika paket tidak ditandatangani dengan kunci yang ada di sistem keyring paket apt. Anda harus menerima instalasi paket-paket tersebut secara manual. Jika Anda melihat peringatan ini untuk paket yang berasal dari arsip resmi Ubuntu, atau mirrornya, Anda mungkin tidak boleh menginstal paket, dan segera melaporkan bug tentangnya.Untuk ISO, Anda perlu memverifikasi hash checksum dengan apa yang ada di server Ubuntu resmi.
sumber
you should probably not install the package, and immediately report a bug about it
. Saya pikir berjalanapt-get update
, coba lagi lalu laporkan bug adalah pendekatan yang lebih baik. Kadang-kadang jika koneksi terputus saatapt-get update
Anda akan mendapatkan peringatan yang sama juga jika Anda mencoba menginstal paket sebelum memperbarui lagi.