logo标签列表

哪些Ubuntu软件源是完全安全且没有恶意软件的?

securityrepositorymalware
我在新闻中读到了关于感染安卓操作系统的恶意软件的消息。这些恶意软件存在于谷歌的应用商店中,人们在不知情的情况下下载并安装了它们。
据我所知,Ubuntu的主要软件仓库是安全的,我可以从中下载软件而不会感染恶意软件,因为Canonical的工程师会对软件进行审核。但其他仓库呢,尤其是宇宙软件仓库呢?宇宙仓库是否接受任何形式的审核以防止恶意软件?是否建议避免使用宇宙仓库,以免不知不觉地从中下载恶意软件?
我读过PPA(个人软件包档案)特别危险,因为它们没有经过审核。不过,我认为使用谷歌Chrome的PPA是完全安全的。
所以,如果我只使用主要和宇宙软件仓库以及谷歌Chrome的PPA,我会受到保护,不会不知不觉地下载恶意软件吗?
如果Ubuntu像马克·舒特沃斯预测的那样获得数亿用户,难道Ubuntu的PPA不会成为类似于安卓今天的恶意软件问题吗?
4你似乎问了几个问题。这个网站在一次只提一个问题时表现更好。你可能想将你的问题改写成一个单一的问题,或者将它分为几个问题。 - N.N.
首先,安卓系统不等于Ubuntu系统。其次,如果你正在添加一个PPA源,说明你知道为什么要这样做,因此只要你知道自己安装了什么,操作系统就是安全的。 - Uri Herrera
您可以放心使用所有软件包,它们不会入侵您的计算机或对其造成任何损害。 - Alvar
2相关链接:Ubuntu软件包是否经过安全审计? - Kulfy
3个回答
所有官方的Ubuntu软件仓库(包括在archive.ubuntu.com或其镜像站点上找到的任何内容,以及其他一些仓库)都是经过精心策划的。这意味着main、restricted、universe、multiverse以及-updates和-security中的所有软件包。这些软件包要么来自Debian(因此由Debian开发人员上传),要么由Ubuntu开发人员上传;在这两种情况下,上传的软件包都通过上传者的gpg签名进行了验证。
因此,您可以相信官方软件仓库中的每个软件包都是由Debian或Ubuntu开发人员上传的。此外,您下载的软件包可以通过仓库中文件的gpg签名进行验证,因此您可以相信每个下载的软件包都是基于由Ubuntu或Debian开发人员上传的源代码在Ubuntu构建环境中构建的。
这使得恶意软件的出现不太可能 - 需要一个受信任的人将其上传,并且上传可以轻松追溯到他们。

这留下了更隐秘恶意的问题。上游开发者可能会在本来有用的软件中植入后门,这些后门可能进入软件归档 - 根据许可证,可能是在“宇宙(universe)”或“多元宇宙(multiverse)”中。人们确实对Debian归档进行安全审计,因此如果这个软件变得流行,后门很可能会被发现。

在“主要(main)”中的软件包进行了一些额外的检查,并且获得了Ubuntu安全团队更多的关注。

PPA几乎没有这些保证。从PPA下载的软件包的保证是它们是在Ubuntu构建基础设施上构建的,并由具有列出上传者的Launchpad帐户的GPG密钥之一的人员上传的。不能保证上传者就是他们所说的那个人 - 任何人都可以创建一个“Google Chrome PPA”。对于PPA,您需要以其他方式确定信任。

¹:这种信任链可能会被对Ubuntu基础设施的大规模入侵所破坏,但这对任何系统都是真实的。开发者的gpg密钥被黑客攻破也将允许黑客向归档上传软件包,但由于归档会给每个软件包的上传者发送电子邮件,因此这应该能够迅速地被注意到。

需要注意的是,尽管如此,谷歌确实维护了一个Google Chrome存储库,并且谷歌是一家非常值得信赖的公司。 - Thomas Boxley
4@ThomasBoxley XD - Solo
1@Solo 哈哈,回想起来,我收回之前的话。 - Thomas Boxley
2“在Ubuntu软件仓库上传之前,所有的软件包都会经过检查和审核。”-- 这与您所写的其他内容不符。 - MWB
在上传到Ubuntu软件仓库之前,所有的软件包都会经过MOTUs(宇宙大师)的检查和审核。MOTUs是那些保持Ubuntu宇宙和多元宇宙组件良好状态的勇敢者。他们是社区成员,花费时间添加、维护和支持尽可能多的软件,这些软件可以在宇宙中找到。因此,这些软件包不会破坏您的计算机并窃取您的数据。然而,这些软件包可能存在安全漏洞,即软件中发现的缺陷。此外,Ubuntu中还提供一些具有安全风险的软件(例如键盘记录器),但这些软件包不会窃取您的数据(除非有人有意在您的计算机上安装它)。
希望这能帮到您。请参阅Ubuntu维基页面MOTU以获取更多信息。
在Ubuntu软件仓库中,所有的软件包在上传之前都会经过检查和审核。 - MWB
1@MaxB 你可以阅读sarnold的答案关于Ubuntu软件包是否进行安全审计?sarnold是Ubuntu安全团队的成员。 - Kulfy
@Kulfy 注意他没有涉及恶意软件的主题。 - MWB
1@MaxB Malware和安全相关吗? - Kulfy
底线是,大多数Debian开发者并不会对他们上传的代码进行逐行审查。我不清楚Ubuntu MOTUs的情况,但我怀疑情况是类似的。坦率地说,即使他们进行了逐行审查,我也怀疑一个有能力但邪恶的上游开发者可能会在他们眼皮底下悄悄通过一些东西。 - Peter Green
与主要和宇宙软件源保持一致非常安全,如果PPA特别受欢迎(大多数情况下),或者你知道它们是安全的(比如Google Chrome PPA。我怀疑Google会在其中放置任何恶意软件)。如果你使用主要、宇宙软件源以及你的Google Chrome PPA,你将是安全的。
如果Ubuntu获得大量用户,那么是的,可能会有更多的恶意软件。不过我认为这不会成为一个真正的问题。
待在主要和宇宙软件源中非常安全。来源? - MWB
@MaxB 我在9年前写下了这条评论。如果有问题,请编辑或标记它。 - Thomas Boxley