Ubuntu, aynalardaki paketlerin ve ISO'ların güvenli olmasını nasıl sağlar?

22

Şu anki yerim Ubuntu'nun ana sunucusundan binlerce kilometre uzaktaydı ve aynalarından birini ikamet eden ülkemde kullanmak zorundayım.

Ubuntu sahipleri, ayna sitelerinde düzenli olarak dosyalarını (örn. ISO'lar, güncellemeler, güvenlik yamaları) kontrol etmek için önlemler alıyor mu?

Ubuntu'yu ana sunucudan yükleme ve güncelleme konusundaki kişisel deneyimim en az iki saat sürdü, oysa ülkemde mevcut olan Ubuntu yansıtma sitesini kullandığımda aynı işlem sadece 10-15 dakika sürdü.

mirrors 
n00b
kaynak
11
@ aşağı oy kullananlar: plz neden kısa bir yorumda oy kullandığını açıklıyor; bir şey olursa, bu soruyu en azından meşru bir endişeyi ifade etme çabası olarak görürsem. Endişelenmenize gerek olmadığına inanmak için nedenleriniz varsa, nedenini açıklayın. Teşekkür ederim.
Natty
9
Seçmenleri kapatın: Bu konu dışı değil. Bazı iyileştirmelerden faydalanabilir - esasen dünyadaki hiçbir şey hacker ve kurcalamaya dayanıklı değildir. Ancak , Ubuntu projesi tarafından başkaları tarafından korunan aynaların güvenliğini izlemek için hangi güvenlik önlemlerinin alındığını soran bir soru - ki bu ne soruyor - iyi bir sorundur (genel olarak ve sitemiz için SSS).
Eliah Kagan
Biraz daha genel olmak gerekirse, bu soruya değinmesi gereken hususları ele aldım.
Jorge Castro
1
2
ISO'lar için, MD5'ten aynadan indirilen ISO'yu ebeveynden alınan MD5'e karşı kontrol edebileceğinizi düşünüyorum. Aynı ISO olduğundan, ana sitede olduğu gibi aynı MD5 olmalıdır.
Ahmadgeo

Yanıtlar:

16

Ubuntu arşivindeki paketler, aynadaki kodu değiştirmeye çalışanların mutlaka sahip olmadıkları bir GPG anahtarıyla imzalanır. İmzalı bir paket oluşturmak mümkün olabilirdi, ancak bunu yapmak çok önemsiz değil.

Bu GPG tuşlarıyla imzalanan paketlere genellikle güvenebilirsiniz. Güncelleme yaparken update-managerveya aptpaketler sistem apt paket anahtarlığındaki bir anahtarla imzalanmadığında uyarılırsınız. Bu tür paketlerin kurulumunu manuel olarak kabul etmeniz gerekir. Resmi Ubuntu arşivinden gelen bir paket veya bunun aynası için bu uyarıyı görürseniz, muhtemelen paketi yüklememelisiniz ve derhal bununla ilgili bir hata bildirmelisiniz.

ISO'lar için, sağlama toplamı tutarlarını resmi Ubuntu sunucularında olanlarla doğrulamanız gerekir.

dobey
kaynak
1
@ dobey: Bilgi için teşekkürler. Ubuntu Projesi, güncellenmiş bir güvenilir ayna listesi sunsa iyi olurdu; Özellikle, ülkemdeki ikametgahtaki aynaların Ubuntu Projesi tarafından güvenilir olarak onaylanıp onaylanmadığını öğrenmek istiyorum.
n00b,
1
Güvenlik / stabiliteye önem veriyorsanız, muhtemelen PPA eklememelisiniz. İçlerindeki paketler imzalandı, ancak genel olarak onlarla hiçbir gerçek garanti yok.
dobey
1
Ayna sunucularının paketlerin GPG imzalarını ve sağlama toplamlarını doğrulayıp doğrulamadığını bilmiyorum. Sisteminizde yerel olarak çalışan yazılım, GPG imzalarını kontrol eder.
dobey
1
you should probably not install the package, and immediately report a bug about it. Çalışan düşünüyorum apt-get update, tekrar deneyin sonra bir hata bildirmek daha iyi bir yaklaşımdır. Bazen bağlantı sırasında bağlantı koparsa apt-get update, tekrar güncelleme yapmadan önce bir paket kurmaya çalışırsanız aynı uyarıyı alırsınız.
Dan
1
@ O zamanki uyarılar paketlerin yüklenmesi değil paket bilgileri güncellemesi sırasında gerçekleşti. Bu paketlerin kurulması ile ilgilidir.
dobey
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.