Security
哪些 linux 發行版的軟體包儲存庫是安全的,哪些不安全?
我知道的大多數發行版都具有某種儲存庫功能,可以在安裝後下載新軟體包。哪些發行版以安全的方式執行此操作,哪些不以安全的方式執行此操作。
我特別考慮像中間人這樣的攻擊媒介,以及像儲存庫元伺服器和儲存庫文件鏡像上的安全漏洞這樣的問題。
我聽說 Slackware 和 Arch linux 都非常脆弱,因為它們缺乏包簽名。這是真的?是否還有其他主要的 Linux 發行版容易受到簡單的中間人攻擊?
這不是您問題的直接答案,但您可以採取一些措施來減輕這種風險。最簡單的一種方法是根據您下載的不同鏡像的校驗和檢查您下載的軟體包。
當我的包管理器 (
poldek) 下載一個包時,我將其設置為將下載的 rpm 副本保存在記憶體文件夾中。它會根據軟體包儲存庫自動檢查下載的校驗和,並在不匹配時發出警告/中止,但是如果您擔心中間人攻擊您的發行版儲存庫,那麼編寫一個瀏覽過的輔助腳本會很容易您下載的所有軟體包,並根據您從不同鏡像下載的校驗和驗證它們。您甚至可以將您的第一次安裝作為試執行執行,以便下載包但未安裝,然後執行您的驗證腳本,然後進行實際安裝。這並不能阻止受感染的軟體包進入發行版的儲存庫,但大多數發行版都有其他緩解方法,即使簽名的軟體包也不能保證這永遠不會成為問題。它所做的是扼殺目標中間人攻擊向量。通過使用單獨的源並在單獨的頻道上下載,您可以輕鬆地將受感染的軟體包放入分接線路中。
Debian 軟體包經過校驗和,校驗和由 Debian 密鑰環中的密鑰簽名。
apt包管理器確保下載的包具有正確的校驗和,並且校驗和文件已正確簽名。