id: Гость   вход   регистрация
текущее время 01:06 25/11/2017
Автор темы: Гость, тема открыта 19/03/2010 11:20 Печать
Категории: инфобезопасность, защита дисков, безопасная разработка
https://www.pgpru.com/Форум/UnixLike/БезопасностьПриОбновленииLinux
создать
просмотр
ссылки

Безопасность при обновлении Linux


Приветствую участников форума!


Пару дней назад установил Ubuntu 9.10. Ничего не трогал. Только поставил и всё. Далее решил обновить систему. То что, что я увидел в окне процесса обновления меня повергло в шок. В шок, потому, что я здесь прочитал про безопасность Линукса. Чтобы понять весь идиотизм увиденного мной, смоделирую как будто бы это было в Windows. Итак Мы ставим винду, дрова, настраиваем подключение в сеть и начинаем грузить обновления. И тут программа обновления винды нам говорит примерно такое: «Загружаемый файл N не подписан и поэтому его загрузка и установка может нести угрозу безопасности вашей системе. Продолжить обновление?». Идиотизм? Предельный! Как могут с официальных серверов скачиваться сомнительные апдейты??? Я представляю, нет, я даже не могу себе представить, какие бы цистерны дерма полетели в Гейтса, Балмера и весь майкрософт, если бы такое реально произошло. Какой ор стоял бы на весь мир! А тут ничего так, нормально. Скачиваешь с ОФИЦИАЛЬНОГО сайта дистриб убунту, качаешь ей апдейты с ОФИЦИАЛЬНЫХ серверов, которые прописаны изначально в конфигах разработчиками и тебе заявляют, что то что грузится опасно.
Поэтому я хочу прояснить несколько моментов. Как организовать обновление, чтобы не скачать себе бэкдор?. Стоит ли исключать российские зеркала обновлений? И, кстати, можно ли с них качать сами дистрибутивы? У каких сборок точно не будет такой лажи, как я описал выше?
P. S. Сейчас думаю над выбором между Debian и OpenSuse. Ubuntu произвела впечатление наскоро собранного изделия, которое надо доделывать и доделывать.


 
На страницу: 1, 2 След.
Комментарии
— sentaus (19/03/2010 12:19)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
А чем вы обновляли? Synaptic вроде всегда пропускал битые файлы, а продолжение обновления означает продолжение со следующими пакетами.

Как могут с официальных серверов скачиваться сомнительные апдейты???

Навскидку три возможности:

1) Обрыв соединения по какой-либо причине, и файл не докачался (воспроизводил сам неоднократно)
2) MiTM
3) Взломанный серевер-зеркало.

Эти проблемы решаются электронными подписями, они для этого и предназначены, и в вашем случае защита сработала в штатном режиме.
— sentaus (19/03/2010 12:22)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Какой ор стоял бы на весь мир!


Никакого ора не будет. Равно как не будет его, если Verisign по ошибке издаст левый сертификат якобы Майкрософта, и кому-то впарят подписанные им апдейты :)
— Гость (19/03/2010 12:35)   <#>
sentaus, здравствуйте!

А чем вы обновляли? Synaptic вроде всегда пропускал битые файлы, а продолжение обновления означает продолжение со следующими пакетами.

Я обновлял через меню администрирование -> обновить. Могу сейчас ошибаться в названиях и путях, т. .к на данный момент снёс систему. Но не через Synaptic точно. Насчёт обрыва соединения – сомневаюсь. У меня выделенка, никаких признаков обрыва не было. Значёк показывал, что соединение есть.
— Гость (19/03/2010 12:47)   <#>
Идиотизм? Предельный! Как могут с официальных серверов скачиваться сомнительные апдейты???
Вам множества открытий чудных готовит обновленья урл.

Напоминает производителей с гарантированием протекшна: скачивайте нашу программу только с нашего адреса. В особо сложных случаях, бывает, модель доверия вообще покоится лишь на имени сайта.
— Altabello (19/03/2010 12:53)   <#>
Вам множества открытий чудных готовит обновленья урл.

Да, открытий, и сюрпризов будет, видимо, навалом. Если я правильно Вас понял, нужно перед обновлением переписывать/перепроверять адреса зеркал?
— unknown (19/03/2010 13:01, исправлен 19/03/2010 13:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В общем виде вопрос обсуждался здесь и здесь.

— Гость (19/03/2010 13:14)   <#>
Спасибо, unknown! Очень впечатлило! Ну и в общем виде стало ясно.
— unknown (19/03/2010 14:18, исправлен 19/03/2010 14:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Поиск по форуму иногда творит чудеса ;-)

— sentaus (19/03/2010 15:51)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Если я правильно Вас понял, нужно перед обновлением переписывать/перепроверять адреса зеркал?


Не обязательно. Просто проверяйте, всё сообщения системы. И если добавляете сторонние репозитории обязательно импортируйте ключи, чтобы непроверенных репозиториев в принципе не было.
— poptalk (20/03/2010 19:15)   профиль/связь   <#>
комментариев: 259   документов: 12   редакций: 3
Добро пожаловать в клуб! :) Linux-а без косяков не бывает. По идее, если на зеркале лежит неправильный файл, обновлятор должен перебирать зеркала пока не найдёт правильный.
— Вий (29/05/2010 06:02)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Странно. Не раз обновлял Ubuntu 9.10 (и у себя и у других людей), сейчас то же самое проделал с Ubuntu 10.04, которую только что поставил. Не разу такие сообщения системой не выдавались. Уверены, что дистрибутив взят из надежного источника?
— Вий (03/08/2010 14:36)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Сам столкнулся с такой ситуацией. При попытке поставить программу из репозитария система выдала предупреждение, что подлинность пакетов не подтверждена. Обновление информации о доступных репозитариях выдало ошибку доступа к определенным из них. Возможно какие-то технические профилактические работы на серверах или что-то в этом духе. Попытка выполнить ту-же операцию на следующий день увенчалась успехом. В любом случае это лучше, чем ставить непонятно что с разных файлопомоек, как это обычно происходит в windows, по крайней мере система дает нужные предупреждения.
— Вий (26/08/2010 18:18)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Есть еще один вариант, кстати, если не хочется ждать. Просто нужно указать другой сервер обновления. В то же Ubuntu это делается элементарно, через меню "Система – администрирование – источники приложений".
— Гость (27/08/2010 04:38)   <#>
В то же Ubuntu это делается элементарно, через меню "Система – администрирование – источники приложений".
А я думал, что через vim /etc/apt/sources.list
— Гость (27/08/2010 19:49)   <#>
А я думал, что через vim /etc/apt/sources.list


Jedem das Seine
P.S. Я тоже предпочитаю описанный Вами способ. Хотя говорят, что для этого можно emacs /etc/apt/sources.list
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3