Безопасность при обновлении Linux
Приветствую участников форума!
Пару дней назад установил Ubuntu 9.10. Ничего не трогал. Только поставил и всё. Далее решил обновить систему. То что, что я увидел в окне процесса обновления меня повергло в шок. В шок, потому, что я здесь прочитал про безопасность Линукса. Чтобы понять весь идиотизм увиденного мной, смоделирую как будто бы это было в Windows. Итак Мы ставим винду, дрова, настраиваем подключение в сеть и начинаем грузить обновления. И тут программа обновления винды нам говорит примерно такое: «Загружаемый файл N не подписан и поэтому его загрузка и установка может нести угрозу безопасности вашей системе. Продолжить обновление?». Идиотизм? Предельный! Как могут с официальных серверов скачиваться сомнительные апдейты??? Я представляю, нет, я даже не могу себе представить, какие бы цистерны дерма полетели в Гейтса, Балмера и весь майкрософт, если бы такое реально произошло. Какой ор стоял бы на весь мир! А тут ничего так, нормально. Скачиваешь с ОФИЦИАЛЬНОГО сайта дистриб убунту, качаешь ей апдейты с ОФИЦИАЛЬНЫХ серверов, которые прописаны изначально в конфигах разработчиками и тебе заявляют, что то что грузится опасно.
Поэтому я хочу прояснить несколько моментов. Как организовать обновление, чтобы не скачать себе бэкдор?. Стоит ли исключать российские зеркала обновлений? И, кстати, можно ли с них качать сами дистрибутивы? У каких сборок точно не будет такой лажи, как я описал выше?
P. S. Сейчас думаю над выбором между Debian и OpenSuse. Ubuntu произвела впечатление наскоро собранного изделия, которое надо доделывать и доделывать.
комментариев: 1060 документов: 16 редакций: 32
Навскидку три возможности:
1) Обрыв соединения по какой-либо причине, и файл не докачался (воспроизводил сам неоднократно)
2) MiTM
3) Взломанный серевер-зеркало.
Эти проблемы решаются электронными подписями, они для этого и предназначены, и в вашем случае защита сработала в штатном режиме.
комментариев: 1060 документов: 16 редакций: 32
Никакого ора не будет. Равно как не будет его, если Verisign по ошибке издаст левый сертификат якобы Майкрософта, и кому-то впарят подписанные им апдейты :)
А чем вы обновляли? Synaptic вроде всегда пропускал битые файлы, а продолжение обновления означает продолжение со следующими пакетами.
Я обновлял через меню администрирование -> обновить. Могу сейчас ошибаться в названиях и путях, т. .к на данный момент снёс систему. Но не через Synaptic точно. Насчёт обрыва соединения – сомневаюсь. У меня выделенка, никаких признаков обрыва не было. Значёк показывал, что соединение есть.
Напоминает производителей с гарантированием протекшна: скачивайте нашу программу только с нашего адреса. В особо сложных случаях, бывает, модель доверия вообще покоится лишь на имени сайта.
Да, открытий, и сюрпризов будет, видимо, навалом. Если я правильно Вас понял, нужно перед обновлением переписывать/перепроверять адреса зеркал?
комментариев: 9796 документов: 488 редакций: 5664
В общем виде вопрос обсуждался здесь и здесь.
комментариев: 9796 документов: 488 редакций: 5664
Поиск по форуму иногда творит чудеса ;-)
комментариев: 1060 документов: 16 редакций: 32
Не обязательно. Просто проверяйте, всё сообщения системы. И если добавляете сторонние репозитории обязательно импортируйте ключи, чтобы непроверенных репозиториев в принципе не было.
комментариев: 271 документов: 13 редакций: 4
комментариев: 510 документов: 110 редакций: 75
комментариев: 510 документов: 110 редакций: 75
комментариев: 510 документов: 110 редакций: 75
Jedem das Seine
P.S. Я тоже предпочитаю описанный Вами способ. Хотя говорят, что для этого можно emacs /etc/apt/sources.list