软件仓库更新安全吗?
作为一个开发者,我是个蠢笨的熊,无法理解为什么仓库列表是http://security.ubuntu.com
,而其他列在/etc/apt/sources.list
中的网站都是http
(不安全的)。没有证书链匹配的话,这看起来就像是“向任何响应者请求要更新的软件包列表”而不是“向ubuntu.com网站请求...”
任何网络都可以选择伪造更新站点吗?这是一种常见做法,以提供本地缓存和经过验证的副本吗?
软件仓库更新安全吗?
作为一个开发者,我是个蠢笨的熊,无法理解为什么仓库列表是http://security.ubuntu.com
,而其他列在/etc/apt/sources.list
中的网站都是http
(不安全的)。没有证书链匹配的话,这看起来就像是“向任何响应者请求要更新的软件包列表”而不是“向ubuntu.com网站请求...”
任何网络都可以选择伪造更新站点吗?这是一种常见做法,以提供本地缓存和经过验证的副本吗?
2022年更新:现在仓库主机/镜像通常支持HTTPS,因此您可以使用它来提供额外的保证,以增强APT所提供的安全性。请阅读下文,了解为什么仅仅使用HTTPS不足以保护您,以及为什么APT添加了自己的加密安全性。
-o Acquire::Check-Valid-Until=false
告诉它(这是一个有用的命令,如果您要测试APT的旧版本快照或者强制APT使用一个陈旧、过时的镜像)。这将限制Bob在有效日期内不被察觉地提供陈旧软件包的能力。 - thomasrutter