Quelle est la sécurité du miroir des référentiels tiers Ubuntu (APT)

Pas.

Tous les forfaits et index (Packages.gz, Sources.gz, ...) doit être signé en utilisant la clé GPG. Également apt Les usages md5sum Pour vérifier qu'il a chargé la copie correcte du fichier d'index Packages.

Si quelqu'un remplace ou change le paquet, le package ne correspond plus au panneau GPG.

Bien qu'il existe de nombreux mécanismes pour protéger Repo, y compris les packages de signature, etc., ils sont si sûrs que ceux qui les accompagnent. République tiers mal gérable, qui packs ou lance un attaquant, peut vraiment établir des logiciels malveillants.

Référentiels APT Debian et Ubuntu Avoir plusieurs niveaux de chèques avant que le paquet ne devienne disponible au téléchargement. Les charges d'emballages initiaux par les développeurs s'abonnent GPG Ainsi que l'inclusion de plusieurs checksums dans des fichiers séparés qui composent le chargement de l'emballage, qui sont ensuite vérifiés à la fois de la somme de contrôle et de la signature GPG Avant d'accepter. Ensuite, le référentiel lui-même a sa propre clé. GPG, qui est utilisé pour signer des fichiers de sortie qui répertorie les packages disponibles dans le référentiel. Les fichiers de libération du référentiel incluent également des données de checksum, qui vérifient ensuite divers utilitaires d'installation en fonction de APT, ainsi que la signature GPG Dans les fichiers de libération.

Ainsi, du téléchargement par le développeur qui prend en charge le package, avant de télécharger et d'installer sur votre ordinateur local, il existe un moyen de vérifier que rien n'a été forgé ou modifié.