Bagaimana Ubuntu memastikan bahwa paket dan ISO dari mirror aman?

22

Lokasi saya saat ini adalah ribuan kilometer dari server utama Ubuntu dan saya berkewajiban untuk menggunakan salah satu mirrornya di negara tempat saya tinggal.

Apakah pemilik Ubuntu menerapkan langkah-langkah untuk secara berkala memeriksa file mereka (mis. ISO, pembaruan, patch keamanan) di situs mirror mereka belum dirusak dan / atau malware / trojan belum diperkenalkan oleh peretas?

Pengalaman pribadi saya dengan menginstal dan memperbarui Ubuntu dari server utama membutuhkan setidaknya dua jam sedangkan proses yang sama hanya memakan waktu 10 hingga 15 menit ketika saya menggunakan situs mirror Ubuntu yang tersedia di negara saya.

n00b
sumber
11
@ the down-voters: tlg jelaskan mengapa Anda memilih dalam komentar singkat; jika ada saya akan mempertimbangkan pertanyaan ini setidaknya upaya untuk mengungkapkan masalah yang sah. Jika Anda memiliki alasan untuk percaya bahwa seseorang tidak perlu khawatir tentang hal itu, tolong jelaskan alasannya. Terima kasih.
gila tentang natty
9
Tutup pemilih: Ini bukan di luar topik. Ini bisa mendapatkan manfaat dari beberapa perbaikan - pada dasarnya tidak ada apa pun di dunia ini yang terbukti sebagai peretas dan perusak. Tetapi pertanyaan yang menanyakan tindakan keamanan apa yang diambil oleh proyek Ubuntu untuk memantau keamanan cermin yang dikelola oleh orang lain - yang merupakan pertanyaan ini - adalah pertanyaan yang bagus (baik secara umum, dan untuk situs kami sesuai dengan FAQ).
Eliah Kagan
Saya telah memberinya sedikit judul untuk menjadi lebih umum yang harus membahas poin-poin dalam pertanyaan.
Jorge Castro
2
Untuk ISO, saya pikir Anda dapat melakukan pemeriksaan hash MD5 pada ISO yang diunduh dari mirror terhadap MD5 yang diperoleh dari induknya. Karena ini adalah ISO yang sama, itu harus memiliki MD5 yang sama seperti di situs induk.
Ahmadgeo

Jawaban:

16

Paket dalam arsip Ubuntu ditandatangani dengan kunci GPG, yang tidak dimiliki siapa pun yang mencoba mengganti kode di mirror. Adalah mungkin untuk memalsukan paket yang ditandatangani, tetapi tidak sepele untuk melakukannya.

Anda biasanya dapat mempercayai paket yang ditandatangani dengan kunci GPG ini. Saat memperbarui melalui update-manageratau aptAnda akan diperingatkan ketika paket tidak ditandatangani dengan kunci yang ada di sistem keyring paket apt. Anda harus menerima instalasi paket-paket tersebut secara manual. Jika Anda melihat peringatan ini untuk paket yang berasal dari arsip resmi Ubuntu, atau mirrornya, Anda mungkin tidak boleh menginstal paket, dan segera melaporkan bug tentangnya.

Untuk ISO, Anda perlu memverifikasi hash checksum dengan apa yang ada di server Ubuntu resmi.

dobey
sumber
1
@ Dobby: Terima kasih atas informasinya. Akan lebih baik jika Proyek Ubuntu menyediakan daftar cermin tepercaya yang diperbarui; khususnya saya ingin mengetahui apakah mirror di negara domisili saya telah disertifikasi oleh tepercaya oleh Proyek Ubuntu.
n00b
1
Jika Anda peduli dengan keamanan / stabilitas, Anda sebaiknya tidak menambahkan PPA. Paket-paket di dalamnya sudah ditandatangani, tetapi secara umum tidak ada jaminan.
dobey
1
Saya tidak tahu apakah server mirror memverifikasi tanda tangan dan checksum GPG dari paket atau tidak. Perangkat lunak yang dijalankan secara lokal pada sistem Anda tidak memeriksa tanda tangan GPG.
dobey
1
you should probably not install the package, and immediately report a bug about it. Saya pikir berjalan apt-get update, coba lagi lalu laporkan bug adalah pendekatan yang lebih baik. Kadang-kadang jika koneksi terputus saat apt-get updateAnda akan mendapatkan peringatan yang sama juga jika Anda mencoba menginstal paket sebelum memperbarui lagi.
Dan
1
@Dapat peringatan pada saat itu adalah selama pembaruan informasi paket, bukan pemasangan paket. Ini tentang pemasangan paket.
dobey