Saya mencoba memahami do-release-upgrade
prosesnya yaitu cara Ubuntu meminta saya untuk meningkatkan ke rilis Ubuntu musim semi atau musim gugur berikutnya.
Setelah membaca sumber untuk ubuntu-release-upgrader
saya menemukan file / etc / update-manager / rilis-meta di sistem saya. File ini muncul menggunakan URL HTTP untuk menunjuk ke http://changelogs.ubuntu.com/meta-release di mana berbagai rilis Ubuntu dari Warty 04.10 ke Raring 13.04 terdaftar. File ini mencantumkan rilis, status dukungannya, tanggal rilis dan memiliki tautan ke Release
file tersebut.
Sekarang Release
file tersebut memiliki tanda tangan GPG yang sesuai dan sha1sum dari Packages
file yang, pada gilirannya, memiliki sha1sum dari masing-masing biner DEB yang diinstal. Rilis terbaru juga memiliki skrip pemutakhiran dan tanda tangan GPG yang sesuai untuk ini juga. Semua terdengar bagus.
Pertanyaan saya adalah tentang meta-release
file itu sendiri. Itu tidak dilayani melalui HTTPS dan saya tidak dapat menemukan tanda tangan GPG untuk itu. Jika seseorang mengganti file ini, apakah mereka dapat menyebabkan mesin saya meng-upgrade ...
- ... untuk rilis yang ditandatangani yang belum melalui pengujian keamanan?
- ... untuk rilis lama yang tidak didukung dan memiliki kerentanan keamanan yang belum diperbaiki?
UpgradeToolSignature
masih ada di sana, jadi itu hanya akan meningkatkan menggunakan alat yang ditandatangani oleh Canonical (tapi ya, itu tidak mengurangi masalah yang Anda miliki).Jawaban:
do-release-upgrade memerlukan hak admin, dan jika Anda menggunakan rilis LTS, akan tetap menggunakannya dan tidak secara otomatis meningkatkan versi Anda. Jika Anda menggunakan sumber yang tidak resmi, ia akan memunculkan banyak pesan peringatan.
Namun, varian GUI pada hal ini, bagi pengguna akhir, tidak berbeda dengan UAC pada Windows, di mana siapa pun yang tidak cukup teknis hanya akan mengklik tombol atau mengetikkan kata sandi, mengabaikan peringatan dan pergi untuk membuat secangkir teh. Jadi dalam praktiknya, tidak lebih atau kurang aman daripada Pembaruan Windows.
Singkatnya - saya tidak akan percaya upgrade akan aman. Bahkan, jika Anda menggunakan LTS dan menggunakan Ubuntu untuk hal-hal penting misi, saya akan menghindari memperbarui versi utama hingga rilis Anda tidak lagi didukung - pemutakhiran memecah barang dengan cara yang halus yang membutuhkan waktu untuk Anda perbaiki.
sumber
Hanya Admin yang dapat menyebabkan perubahan permanen pada file di pc. Pengguna tamu tidak dapat mengubah file-file ini (atau yang lainnya). Jadi tidak ada orang lain selain admin yang dapat menyebabkan manajer pembaruan mencari beberapa tautan yang berpotensi berbahaya.
sekarang, Admin tidak akan merusak pc-nya sendiri (kecuali dia tidak waras). Dan orang tidak boleh membiarkan orang ketiga mengakses Hak Admin. Jadi praktis tidak ada risiko.
Singkatnya " seseorang " tidak dapat mengubah file ini. Hanya Admin yang dapat membuat perubahan pada file.
Terakhir, buletin mingguan Ubuntu membuat Anda diperbarui dengan pembaruan / peningkatan terbaru. Anda dapat mengonfirmasi darinya sehingga Anda dapat memastikan keamanan pc Anda sebaik mungkin.
sumber