我目前的位置距离Ubuntu主服务器有数千公里,因此我只能使用该国境内的Ubuntu镜像站点。
Ubuntu的所有者是否采取措施定期检查其镜像站点的文件(例如ISO映像、更新和安全补丁),以确保它们未被篡改并且未被黑客引入恶意软件/木马程序?
我个人使用主服务器安装和更新Ubuntu的经验至少需要两个小时,而当我使用我所在国家的Ubuntu镜像站点时,相同的过程只需10到15分钟。
我目前的位置距离Ubuntu主服务器有数千公里,因此我只能使用该国境内的Ubuntu镜像站点。
Ubuntu的所有者是否采取措施定期检查其镜像站点的文件(例如ISO映像、更新和安全补丁),以确保它们未被篡改并且未被黑客引入恶意软件/木马程序?
我个人使用主服务器安装和更新Ubuntu的经验至少需要两个小时,而当我使用我所在国家的Ubuntu镜像站点时,相同的过程只需10到15分钟。
Ubuntu软件存档中的软件包都使用GPG密钥进行签名,而试图在镜像上替换代码的人不一定拥有这些密钥。虽然可能伪造一个已签名的软件包,但这并不是非常简单。
通常情况下,您可以信任那些使用这些GPG密钥签名的软件包。当通过update-manager
或apt
进行更新时,如果软件包未使用系统apt软件包密钥环中的密钥进行签名,系统将发出警告。您需要手动确认安装此类软件包。如果您在来自官方Ubuntu存档或其镜像的软件包上看到此警告,则可能不应该安装该软件包,并立即报告一个错误。
对于ISO镜像文件,您需要与官方Ubuntu服务器上的校验和哈希值进行验证。
apt-get update
,然后再尝试安装并报告错误是一个更好的方法。有时候如果在apt-get update
过程中连接断开,如果你在更新之前尝试安装软件包,你会得到相同的警告。 - Dan