Repositori Ubuntu mana yang benar-benar aman dan bebas dari malware?

13

Saya membaca di berita tentang semua malware yang menginfeksi OS Android. Malware ini ada di App Store Google dan orang-orang tanpa sadar mengunduh dan menginstalnya.

Seperti yang saya mengerti, repositori Utama Ubuntu aman untuk saya unduh (saya tidak akan terinfeksi malware) karena insinyur Canonical meninjau perangkat lunaknya. Tetapi bagaimana dengan repo lain, terutama repositori Universe? Apakah repo Universe menerima segala jenis tinjauan untuk melindungi dari malware? Apakah disarankan untuk menghindari repo Universe karena takut tidak sengaja mengunduh malware dari situ?

Saya pernah membaca PPA sangat berbahaya karena tidak ditinjau. Saya berasumsi bahwa sangat aman untuk menggunakan Google Chrome PPA.

Jadi, jika saya tidak menggunakan apa pun selain repositori Main & Universe dan PPA Google Chrome, apakah saya akan terlindungi dari pengunduhan malware yang tidak disadari?

Jika Ubuntu mendapatkan ratusan juta pengguna seperti yang diprediksi oleh Mark Shuttleworth, bukankah PPA Ubuntu akan menjadi masalah malware untuk Ubuntu seperti Google App Store hari ini untuk Android?

repository Nick
sumber
4
Anda sepertinya mengajukan beberapa pertanyaan. Situs ini berfungsi lebih baik dengan satu pertanyaan pada satu waktu. Anda mungkin ingin menulis ulang pertanyaan Anda menjadi satu pertanyaan atau membaginya menjadi beberapa pertanyaan.
NN
Ya, pertama-tama Android = / = Ubuntu, maka jika Anda menambahkan PPA, Anda tahu alasan mengapa Anda melakukannya, karena itu Anda tahu apa yang ada di dalamnya sehingga OS tetap aman selama Anda tahu apa yang Anda instal.
Uri Herrera
Anda dapat mempercayai semua paket yang tidak akan diretas komputer Anda, atau membahayakannya.
Alvar

Jawaban:

19

Semua repositori resmi Ubuntu (mencakup apa pun yang dapat Anda temukan di archive.ubuntu.comatau mirrornya, dan juga beberapa lainnya) sepenuhnya dikuratori. Ini berarti main, restricted, universe, multiverse, serta -updatesdan -security. Semua paket di sana berasal dari Debian (dan telah diunggah oleh Pengembang Debian) atau telah diunggah oleh pengembang Ubuntu; dalam kedua kasus paket yang diunggah diautentikasi oleh tanda tangan gpg dari pengunggah.

Karena itu Anda dapat mempercayai bahwa setiap paket dalam arsip resmi telah diunggah oleh pengembang Debian atau Ubuntu. Selain itu, paket yang Anda unduh dapat diverifikasi oleh tanda tangan gpg pada file di repositori, sehingga Anda dapat percaya bahwa setiap paket yang Anda unduh telah dibangun di Ubuntu build farm dari sumber yang diunggah oleh pengembang Ubuntu atau Debian¹.

Ini membuat malware langsung menjadi tidak mungkin - seseorang yang memiliki posisi kepercayaan perlu mengunggahnya, dan unggahan itu akan mudah ditelusuri oleh mereka.

Ini meninggalkan pertanyaan tentang kejahatan yang lebih diam-diam. Pengembang hulu dapat menempatkan backdoors ke dalam perangkat lunak yang berguna dan ini bisa membuatnya menjadi arsip-dalam universeatau multiverse, tergantung pada lisensi. Orang-orang menjalankan audit keamanan arsip Debian, jadi jika perangkat lunak ini menjadi populer, kemungkinan pintu belakang itu akan ditemukan.

Paket di mainmemiliki beberapa pemeriksaan tambahan dan mendapatkan lebih banyak cinta dari tim keamanan Ubuntu.

PPA hampir tidak memiliki ini. Jaminan yang Anda dapatkan dari PPA adalah bahwa paket yang Anda unduh dibangun di infrastruktur pembangunan Ubuntu, dan diunggah oleh seseorang dengan akses ke salah satu kunci GPG dari akun Launchpad dari pengunggah yang terdaftar. Tidak ada jaminan bahwa pengunggah adalah yang mereka katakan - siapa pun dapat membuat "Google Chrome PPA". Anda perlu menentukan kepercayaan dengan cara lain untuk PPA.

¹: Rantai kepercayaan ini dapat dipatahkan oleh intrusi luas ke dalam infrastruktur Ubuntu, tetapi itu berlaku untuk sistem apa pun. Kompromi dari kunci gpg pengembang juga akan memungkinkan topi hitam untuk mengunggah paket ke arsip, tetapi karena arsip mengirim email ke pengunggah dari setiap paket ini harus diperhatikan dengan cepat.

RAOF
sumber
Perlu dicatat bahwa Google mempertahankan repo Google Chrome, dan Google adalah perusahaan yang cukup dapat dipercaya.
Thomas Boxley
@ThomasBoxley XD
Solo
@Solo lmao saya mengambilnya kembali.
Thomas Boxley
8

Semua paket di Repositori Ubuntu sebelum diunggah diperiksa dan ditinjau oleh MOTU (Masters of the Universe). MOTU adalah jiwa pemberani yang menjaga komponen Universe dan Multiverse dari Ubuntu. Mereka adalah anggota masyarakat yang menghabiskan waktu untuk menambah, memelihara, dan mendukung sebanyak mungkin perangkat lunak yang ditemukan di Universe. Karenanya tidak ada kemungkinan paket-paket ini membobol komputer Anda dan mencuri data Anda. Namun paket-paket ini mungkin memiliki bug keamanan yang merupakan kelemahan yang ditemukan dalam perangkat lunak. Juga beberapa perangkat lunak yang terdiri dari keamanan tersedia di Ubuntu (misalnya penebang kunci) tetapi paket-paket ini tidak akan mencuri data Anda (kecuali seseorang dengan sengaja menginstalnya di komputer Anda).

Semoga ini membantu. Lihat halaman wiki Ubuntu MOTU untuk informasi lebih lanjut.

Vibhav Pant
sumber
2

Tetap dengan repositori Main dan Universe sangat aman, dan begitu juga PPA jika mereka sangat populer (sebagian besar waktu), atau Anda tahu bahwa mereka akan aman (seperti PPA Google Chrome. Saya ragu Google akan letakkan segala jenis malware di dalamnya.) Jika Anda menggunakan Utama, Universe, dan PPA Google Chrome Anda, Anda akan aman.

Jika Ubuntu mendapatkan banyak pengguna, maka ya, mungkin akan ada lebih banyak malware. Saya pikir tidak akan ada cukup masalah.

Thomas Boxley
sumber