Meta sürüm yükseltme (sürüm yükseltme yükseltme) güvenli mi?


24

do-release-upgradeİşlemi yani Ubuntu'nun bir sonraki ilkbahar veya sonbaharda Ubuntu sürümüne geçmemi istememi istediğimi anlamaya çalışıyorum .

İçin kaynaklar okuduktan sonra ubuntu-release-upgraderI bulundu / etc / update-manager / meta-salım sistemimde dosyayı. Bu dosya, http://changelogs.ubuntu.com/meta-release’e işaret etmek için Warty 04.10’dan Raring 13.04’e kadar çeşitli Ubuntu’ların yayınlandığı listelenen bir HTTP URL’si kullanır . Bu dosya, sürümleri, destek durumlarını, yayımlanma tarihlerini ve Releasedosyaya bir bağlantıyı listeler .

Şimdi, Releasedosyaya karşılık gelen bir GPG imzası ve ardından Packages, kurulu DEB ikili dosyalarının sha1sumu olan dosyanın sha1sumu var. Son sürümlerde ayrıca bir yükseltme komut dosyası ve bunlar için de ilgili bir GPG imzası var. Tüm sesler güzel.

Benim sorum meta-releasedosyanın kendisi hakkında. HTTPS üzerinden sunulmaz ve bunun için bir GPG imzası bulamıyorum. Birisi bu dosyayı değiştirirse, bir şekilde makinemin güncellenmesine neden olabilir ...

  • ... henüz güvenlik testinden geçmemiş olan imzalı bir sürüme mi?
  • ... desteklenmeyen ve düzeltilmemiş güvenlik açıkları olan eski bir sürüme?

1
Çok güzel bir soru ve iyi yazılmış. Bu güvenlik sorunu teyit edilip geliştiricilere bildirilirse, düzeltilinceye kadar bunun açıklanması gerektiğini düşünüyorum. İlk düşüncem, bunun gerçekten de ortadaki bir saldırıya karşı savunmasız göründüğü. Bir kullanıcının yine de yükseltme işlemini onaylaması gerekiyor.
gertvdijk

Bu arada biraz daha bilgi topladım ve bir kez onu gerçeklerle / deneylerle desteklemeye zaman bulduktan sonra cevap olarak göndereceğim. UpgradeToolSignatureHala orada olduğunu unutmayın , bu nedenle yalnızca Canonical tarafından imzalanan bir araç kullanarak yükseltme yapar (ancak, bu endişelerinizi azaltmaz).
gertvdijk

Düşürmeyi eski bir sürüme zorlamaya çalıştım, ancak yükseltme komut dosyası, saldırganlıktan hardy'ye nasıl yükseltileceğini bilmediğini söyledi. Apt geçersiz kılmadan düşürmez. Yapabileceğiniz en kötü şey, kurbanınızın, örneğin geliştirme ya da olmayanlar gibi istediğinden daha yeni bir sürüme yükseltme yapmasıdır.
jwal

Başka bir yaklaşım hakkında düşünüyordum. İpucu: Giriş temizliği yok. Muhtemelen haftasonu boyunca biraz zaman bulacağım. :)
gertvdijk

1
Ubuntu deposundan birinin tehlikeye atılması ve paketlerin meta dosyasında tanımlanmış olanla aynı olanların truva atı paketleri ile değiştirilmesi konusunda daha fazla endişe duyarım.
Justin Andrusk

Yanıtlar:


2

do-release-upgrade, yönetici hakları gerektirir ve eğer bir LTS sürümündeyseniz, bunun üzerinde kalır ve otomatik olarak sizi bir sürüme zorlamaz. Resmi olmayan kaynaklar kullanırsanız bir sürü uyarı mesajı verir.

Bununla birlikte, bu konuda GUI varyantları, son kullanıcı için, Windows'ta UAC'den farklı değildir; teknik olarak yeterince düşünülmeyen herhangi bir kişi sadece düğmesine tıklar veya şifreyi girer, uyarıları yok sayar ve bir bardak çay yapmak için gider. Yani pratikte, Windows Update'ten daha az ya da çok güvenli değil.

Kısacası - yükseltme işleminin güvenli olduğuna güvenmem. Aslında, bir LTS'deyseniz ve kritik görevler için Ubuntu kullanıyorsanız, sürümünüz artık destekleninceye kadar büyük bir sürümü yükseltmekten kaçınırdım - yükseltme, işleri düzeltmeniz için zaman alan ince yöntemlerle bozar.


Benim sorum aslında, yükseltme işlemini yapan yerel makineden ziyade, ağdaki bir bilgisayar korsanı - ortadaki bir adam gibi. Yerel makinede yükseltmeyi çalıştırmak için root olmanız gerektiğini zaten biliyorum.
jwal

0
  • Yalnızca Yönetici, bilgisayardaki dosyalarda kalıcı değişikliklere neden olabilir. Misafir kullanıcılar bu (veya başka) dosyaları değiştiremezler. Dolayısıyla yöneticinin kendisinden başka hiç kimse güncelleme yöneticisinin potansiyel olarak zararlı bir link aramasına neden olamaz.

  • Şimdi, Yönetici kendi bilgisayarına zarar vermez (aklını kaybetmediği sürece). Ve hiç kimse üçüncü kişilerin Yönetici Haklarına erişmesine asla izin vermemelidir. Bu nedenle, neredeyse hiçbir risk yoktur.

  • Belki kötü amaçlı uygulamalar olabilir, ancak güvenilir repolar kullanıyorsanız, bu risk geçerli değildir.
  • @Gertvdijk dediği gibi, kullanıcı yükseltmeleri onaylamak zorunda
  • Ve son olarak her zaman orijinal linki geri yükleyebilirsiniz.

Kısacası " birisi " bu dosyayı değiştiremez. Yalnızca Yönetici dosyalarda değişiklik yapabilir.

Bu işlem elbette daha güvenli olabilir. Yazılım güncelleyicisi bu dosyaları şifreleyip bir gpg anahtarı kullanabilir

Sonunda Ubuntu haftalık haber bülteni, en son güncellemeler / güncellemeler ile sizi güncel tutar.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.