उबंटू यह कैसे सुनिश्चित करता है कि दर्पण से पैकेज और आईएसओ सुरक्षित हैं?


22

मेरा वर्तमान स्थान उबंटू के मुख्य सर्वर से हजारों किलोमीटर दूर है और मैं अपने अधिवास के देश में इसके एक दर्पण का उपयोग करने के लिए बाध्य हूं।

क्या उबंटू के मालिक अपनी दर्पण साइटों पर समय-समय पर अपनी फाइलों (जैसे आईएसओ, अपडेट, सुरक्षा पैच) की जांच करने के लिए उपायों को लागू करते हैं और छेड़छाड़ नहीं की गई है और / या मैलवेयर / ट्रोजन हैकर्स द्वारा पेश नहीं किए गए हैं?

मुख्य सर्वर से उबंटू को स्थापित करने और अपडेट करने के साथ मेरे व्यक्तिगत अनुभव में कम से कम दो घंटे लगे, जबकि इसी प्रक्रिया में मुझे अपने देश में उपलब्ध उबंटू दर्पण साइट का उपयोग करने में सिर्फ 10 से 15 मिनट का समय लगा।


11
@ डाउन-वोटर: plz समझाते हैं कि आपने एक छोटी टिप्पणी में मतदान क्यों किया; अगर कुछ भी मैं इस सवाल पर विचार करूँगा कम से कम एक वैध चिंता व्यक्त करने का प्रयास। यदि आपके पास यह मानने के लिए आधार है कि किसी को इसके बारे में चिंतित होने की आवश्यकता नहीं है, तो plz बताएं कि क्यों। धन्यवाद।
नट्टी के बारे में अखरोट

9
करीबी मतदाता: यह विषय नहीं है। यह कुछ परिशोधन से लाभान्वित हो सकता है - अनिवार्य रूप से दुनिया में कुछ भी हैकर नहीं है- और छेड़छाड़-सबूत, आखिरकार। लेकिन एक सवाल यह पूछ रहा है कि उबंटू परियोजना द्वारा अन्य लोगों द्वारा बनाए गए दर्पणों की सुरक्षा की निगरानी के लिए क्या सुरक्षा उपाय किए गए हैं - जो कि यह पूछ रहा है - एक अच्छा (सामान्य रूप से और हमारी साइट के अनुसार) अकसर किये गए सवाल)।
एलिया कागन

मैंने इसे और अधिक सामान्य होने के लिए रिट्वीट किया है जो प्रश्न में बिंदुओं को संबोधित करना चाहिए।
जॉर्ज कास्त्रो

1
संबंधित पढ़ना: askubuntu.com/questions/56509/…

2
आईएसओ के लिए, मुझे लगता है कि आप एमडी 5 हैश की जांच माता-पिता से प्राप्त एमडी 5 के खिलाफ दर्पण से डाउनलोड किए गए आईएसओ पर कर सकते हैं। चूँकि यह समान ISO है, इसलिए इसमें पैरेंट साइट की तरह ही MD5 होना चाहिए।
अहमदगेओ

जवाबों:


16

उबंटू संग्रह में संकुल को एक GPG कुंजी के साथ हस्ताक्षरित किया गया है, जो किसी को भी दर्पण पर कोड को बदलने का प्रयास करता है, जरूरी नहीं है। एक हस्ताक्षरित पैकेज बनाना संभव होगा, लेकिन ऐसा करने के लिए यह सुपर तुच्छ नहीं है।

आप आमतौर पर इन GPG कुंजी के साथ हस्ताक्षरित संकुल पर भरोसा कर सकते हैं। के माध्यम से अद्यतन करते समय update-managerया aptआपको चेतावनी दी जाएगी जब संकुल को उस कुंजी के साथ हस्ताक्षरित नहीं किया जाता है जो सिस्टम apt पैकेज कीरिंग में है। आपको ऐसे पैकेजों की स्थापना को मैन्युअल रूप से स्वीकार करना होगा। यदि आप आधिकारिक उबंटू संग्रह, या उसके दर्पण से आने वाले पैकेज के लिए यह चेतावनी देखते हैं, तो आपको संभवतः पैकेज स्थापित नहीं करना चाहिए, और तुरंत इसके बारे में बग रिपोर्ट करें।

आईएसओ के लिए, आपको आधिकारिक उबंटू सर्वर पर चेकसम हैश को सत्यापित करना होगा।


1
@ dobey: जानकारी के लिए धन्यवाद। यह अच्छा होगा यदि उबंटू परियोजना विश्वसनीय दर्पणों की एक अद्यतन सूची प्रदान करती है; विशेष रूप से मुझे यह पता लगाने की इच्छा है कि क्या मेरे देश में अधिवास के दर्पण को उबंटू परियोजना द्वारा विश्वसनीय माना गया है।
n00b

1
यदि आप सुरक्षा / स्थिरता की परवाह करते हैं, तो आपको संभवतः PPA नहीं जोड़ना चाहिए। उनमें पैकेज पर हस्ताक्षर किए गए हैं, लेकिन सामान्य रूप से उनके साथ कोई वास्तविक गारंटी नहीं है।
dobey

1
मुझे नहीं पता कि मिरर सर्वर पैकेजों के जीपीजी हस्ताक्षर और चेकसम को सत्यापित करते हैं या नहीं। आपके सिस्टम पर स्थानीय रूप से चलाया जाने वाला सॉफ़्टवेयर हालांकि GPG हस्ताक्षरों की जाँच करता है।
dobey

1
you should probably not install the package, and immediately report a bug about it। मुझे लगता है कि चल रहा है apt-get update, फिर से कोशिश करें कि बग की रिपोर्ट एक बेहतर तरीका है। कभी-कभी यदि apt-get updateआपके दौरान कनेक्शन टूट जाता है, तो आपको फिर से अपडेट करने से पहले पैकेज को स्थापित करने का प्रयास करने के साथ ही चेतावनी मिल जाएगी।
दान

1
@ उस समय की चेतावनी पैकेज सूचना अद्यतन के दौरान होती है, न कि संकुल की स्थापना के लिए। यह संकुल की स्थापना के बारे में है।
dobey
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.