Всем привет:) Являюсь новичком в Linux и вот какой вопрос у меня появился. В локалке моего провайдера есть зеркало с Linex-архивом (не знаю, как точно назвать). В своем дистрибутиве (Ubuntu) я поменял репозитарий с дефолтного на свой локальный. Так вот мне интересно, а кто-нибудь проверяет эти архивы на подлинность и может ли мой провайдер или сторонние организации подменить содержимое этих архивов, зашить бэкдоры или Троянов? Или это невозможно, по определению?
комментариев: 9796 документов: 488 редакций: 5664
На самом деле, чуть сложнее. Сначала скачивается список всех пакетов с их хэшами (MD5, SHA-1 и SHA-256 одновременно), по нему выбираются нужные для установки/обновления, подписью проверяется подлинность списка, а по хэшам – соответствие каждого скачанного пакета проверенному списку.
Если исходный диск, с которого устанавливался дистрибутив – подлинный, с подлинной подписью, то установить посторонее обновление не удасться, если только вы сами или кто-то с правами рута не добавит в конфиг на вашей системе посторонний ключ.
В постороннем репозитарии могут быть только задержки с обновлениями пакетов.