Zararlı AUR paketlerini tanıma

Kemer linux üzerinde yaourt ile yüklenen bir paketin bilgisayarıma zararlı olup olmadığını nasıl anlarım? Wiki'de seninle yaptığım her kurulumu kontrol etmem gerektiğini okudum. Ancak tam olarak neyi kontrol etmem gerekiyor ve kötü amaçlı paketleri nasıl tanıyabilirim?

arch-linux security yaourt

— lup3x
kaynak

Resmi paketleri AUR olmadan kullanmalısınız. Garanti yoktur, çünkü herkes AUR'a herhangi bir şey yükleyebilir, sadece kayıt gerekir. AUR paketlerinin yorumlarını ve oylarını kontrol edin, belki de iyi bir başlangıç noktasıdır.

— uzsolt

Wiki talimatı, yüklemeye devam etmeden önce PKGBUILD'yi

— okumaktır

@uzsolt Bu çok saçma: AUR'da bazıları resmi depolardan taşınan birçok harika paket var. AUR paketlerini kullanmak prensipte iyidir; önemli olan ne yüklediğinizi anlamaktır .

— jasonwryan

Şüphesiz ama aur-foopaketin zararlı olup olmadığını herkes nasıl bilebilir . Genel bir kural veya algoritma var mı? Bence değil. Ve PKGBUILD okumak yeterli değil - zararlı bir C programı yükleyeceğini düşünün. Yüklemeden önce tam kaynak kodunu okuyor musunuz? Bence (raporlar, uyarılar hakkında) yorumları ve oyları kontrol etmelisiniz (çok oy varsa o kadar da kötü görünmüyor). Birçok AUR paketi kullanıyorum ve bunların çoğunun iyi olduğunu düşünüyorum. Ama ... şeytan asla uyumaz :)

— uzsolt

Yanıtlar:

Kodun kapsamlı bir denetimini yapmadan ve "dışarıdan" eylemde, örneğin bir sanal makine kullanarak gözlemlemeden, gerçekten değil. Kötü amaçlı paketleri bulmanın kurşun geçirmez bir yolu yoktur ve nispeten kolay bir şekilde atlanamayacak otomatik bir yol yoktur. Gerçekçi olarak yapabileceğiniz bazı şeyler gümüş mermi değildir:

Açmaktır, paketini indirin ( yok ! Yüklemek) ve paketlenmemiş dosyalar üzerinde bir virüs kontrolü çalıştırın. Bu, iyi bilinen bazı sorunları bulabilir, ancak hedefli veya özel hack'ler bulamaz.
Kullanmadan önce, sanal bir makineye kurun ve yapmaması gereken dosyalara dokunma, dış sunucularla iletişim kurma, kendi başına daemon işlemlerini başlatma vb. Gibi "şüpheli" bir şey yapmadığını kontrol edin. örneğin X saat koştuktan sonra zamanlanmış bir şekilde böyle bir şey yapıyor olabilir ve kodun ayrıntılı denetimi olmadan bilmenin hiçbir yolu yoktur. Rootkit dedektörleri bunların bazılarını otomatikleştirebilir.
Kısıtlı bir ortama kurun. SELinux, chroot hapishaneleri, sanal makineler, ayrı bağlantısız makineler ve daha pek çok şey, düz kötüden aktif kötü amaçlıya kadar farklı türde sorunlu yazılımlar içerebilir.
Değerli (ancak gizli olmayan) veriler, güvenilmeyen makineye salt okunur erişimi olan ayrı sunuculara yerleştirilebilir.
Gizli veriler, güvenilmeyen makineden erişilemeyen bir makineye yerleştirilmelidir. Herhangi bir iletişim, çıkarılabilir medya aracılığıyla manuel kopyalar olmalıdır.

Son olarak, tek güvenli yazılım yazılım değildir. Güvenmediğiniz bir yazılım yüklemeniz gerektiğinden emin misiniz? Bilinen, güvenilir bir alternatif yok mu?

— l0b0
kaynak

Ben sadece xflux ve güneş JDK için wiki girişlerini takip ettim. Rehberiniz AUR'un her girişi için mi yoksa geniş bir wiki.archlinux makalesi olan paketlere güvenebilir miyim?

— lup3x

Kimse sana kime güveneceğini söyleyemez. Kimse kime güveneceğini bilmiyor. Yapabileceğiniz tek şey, kendi deneyiminize, güvendiğiniz insanların tavsiyesine, paketin popülaritesine veya yeterli olduğuna karar verdiğiniz diğer sezgisel görüşlere dayanarak bir karar görüşmesi yapmaktır.

— l0b0

Teşekkürler Yeni paketler yüklerken bunu aklımda tutacağım

— lup3x

@ L0b0'nin tavsiyelerine güvenip güvenmediğinizden emin değilim.

— Sparhawk

@Sparhawk İyi, biz sonuçta internette konum ve güven kime sahip kişisel bir karar olduğu.

— l0b0

Daha önce de belirtildiği gibi, kesin olarak bilemezsiniz.

Kişisel olarak kullandığım ana buluşsal yöntemlerden biri:

PKGBUILD'yi okuyun ve yazılımı hangi web sitelerinden indirdiğini öğrenin. Beklediğiniz yerde mi? Güvenilir bir kaynaktan mı? Örneğin spotify'ı alın, kaynağı ' http://repository.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amd64.deb '

Bunu manuel olarak kurmaya çalışacak olsaydım zaten spotify.com'dan indiriyordum, bu yüzden kitaplarımda sorun yok. PKGBUILD'nin geri kalanını kısa bir şekilde okudu ve bu alışılmadık bir şey yapmıyor gibi görünüyor. Elbette sinsi olmanın yolları var, ancak AUR üzerindeki herhangi bir kötü amaçlı kodun ana hedefi, yazılım yüklemeden önce genellikle PKGBUILD'yi okumadıkları ve sorunu belli olmasa bile sorunu tespit etmeyecekleri yaourt vb. .

— kellpossible
kaynak