क्या मैं "sudo apt-get install" का उपयोग करके वायरस प्राप्त कर सकता हूं?

74

मैं यह सुनिश्चित करना चाहूंगा कि सॉफ्टवेयर का उपयोग करके डाउनलोड करना सुरक्षित है sudo apt-get install। क्या पैकेज कहीं स्कैन किए गए हैं? क्या सभी पैकेज इस कमांड वायरस का उपयोग करके डाउनलोड किए गए हैं?

अगर कोई गारंटी नहीं है कि वे वायरस मुक्त नहीं हैं, तो एक पैकेज जिसमें वायरस शामिल है, को स्थापित करने के बाद क्या हमलावर पूरी तरह से मेरी मशीन को नियंत्रित करने में सक्षम होगा? क्या मेरे द्वारा मेरे कंप्यूटर पर स्थापित किए गए सभी पैकेजों की जांच करने का कोई तरीका है? (सिस्टम द्वारा स्वचालित रूप से नहीं। मैं उन सभी पैकेजों को देखने के लिए उन्हें फ़िल्टर करना चाहूंगा जो मेरे द्वारा मैन्युअल रूप से इंस्टॉल किए गए थे, सिस्टम द्वारा नहीं।)

apt  software-installation  security 
टॉमस
स्रोत
8
सवाल वैध है, लेकिन वायरस के बारे में गलत धारणाएं हैं। संक्रमण से बचने के एकमात्र साधन के रूप में एक ब्लैकलिस्ट एक बहुत खराब तरीका है , इसके बावजूद विंडोज के उल्टे सुरक्षा मॉडल के लिए धन्यवाद सॉफ़्टवेयर पैकेज "स्कैन करना" दुर्भावनापूर्ण कार्यों को रोकने के लिए एक भयानक तरीका है।
वाइल्डकार्ड
2
टॉमस, आपकी टिप्पणी एक मॉडरेटर द्वारा हटा दी गई थी। कृपया इसे बार-बार पोस्ट न करें।
jokerdino

जवाबों:

108

aptएक डिफ़ॉल्ट उबंटू प्रणाली पर वायरस प्राप्त करने की बहुत संभावना नहीं होगी। हालांकि, इसका मतलब यह नहीं है कि यह संभव नहीं है:

  • दुर्भावनापूर्ण पीपीए
    एपीटी की विशेषताओं में से एक व्यक्तिगत पैकेज अभिलेखागार (पीपीए) या अन्य सॉफ्टवेयर स्रोतों को एपीटी कैश में जोड़ने की क्षमता है। ये तृतीय-पक्ष APT स्रोत आवश्यक रूप से विश्वसनीय नहीं हैं, और वायरस ले जा सकते हैं। हालांकि, इन संक्रमित स्रोतों में से किसी एक को जोड़ने के लिए मशीन के व्यवस्थापक की एक जानबूझकर कार्रवाई होगी, जिससे खुद को जोड़ने के लिए यह कठिन हो।
  • हैकेड रिपॉजिटरी
    सिद्धांत रूप में, एक सॉफ़्टवेयर रिपॉजिटरी एक दुर्भावनापूर्ण पार्टी द्वारा हैक की जा सकती है, जिससे डाउनलोड की गई .debफ़ाइलें संभावित रूप से दुर्भावनापूर्ण पेलोड ले जा सकती हैं। हालांकि, आधिकारिक सॉफ्टवेयर रिपॉजिटरी बहुत सावधानी से देखे जाते हैं और इन रिपॉजिटरी के लिए सुरक्षा बहुत कड़ी है। एक हैकर को आधिकारिक उबंटू सॉफ्टवेयर स्रोतों में से एक को नीचे उतारने में मुश्किल होगी, लेकिन तीसरे पक्ष के सॉफ्टवेयर स्रोतों (ऊपर देखें) से बहुत आसान समझौता किया जा सकता है।
  • सक्रिय MITM / नेटवर्क अटैक
    यदि किसी नेटवर्क से उच्चतर समझौता किया जाता है (द्वारा, आपके ISP द्वारा), तो आधिकारिक सॉफ्टवेयर स्रोतों से वायरस प्राप्त करना संभव है। हालाँकि, इस कैलिबर के एक हमले के लिए अत्यधिक प्रयास और GPG कुंजी वितरण सर्वर और आधिकारिक रिपॉज सहित कई साइटों को मैन-इन-द-मिडिल की क्षमता की आवश्यकता होगी।
  • खराब लिखित / दुर्भावनापूर्ण कोड
    कमजोरियाँ खुले स्रोत, सहकर्मी-समीक्षा, और अनुरक्षित कोड में मौजूद हैं। हालांकि इन चीजों को तकनीकी रूप से "वायरस" नहीं माना जाता है, लेकिन परिभाषा में, कुछ खास तरह के कारनामे छिपे हैं या कभी नहीं पता चला है कि यह दुर्भावनापूर्ण हमलावर को आपके सिस्टम पर वायरस डालने या रखने की अनुमति दे सकता है। इस तरह के मुद्दे का एक उदाहरण ओपनएसएसएल, या बहुत अधिक हाल के डर्टी कॉव से हार्दिक होगा। ध्यान दें कि universeया multiverserepos से कार्यक्रम इस कैलिबर के संभावित खतरे हैं, जैसा कि यहां बताया गया है

apt(लिनक्स सिस्टम पर इसके महत्व के कारण) क्लाइंट और सर्वर दोनों तरफ के इन सभी प्रकार के हमलों के खिलाफ बहुत अधिक संरक्षित है। हालांकि वे संभव हैं, एक व्यवस्थापक जो जानता है कि वे क्या कर रहे हैं और त्रुटि लॉग को पढ़ना जानता है, इनमें से किसी भी हमले को रोकने में सक्षम नहीं होगा।

इसके अतिरिक्त, aptयह सुनिश्चित करने के लिए हस्ताक्षर सत्यापन भी लागू करता है कि डाउनलोड की गई फाइलें वैध हैं (और सही तरीके से डाउनलोड की गई हैं ), जिससे मैलवेयर के माध्यम से चुपके करना और भी कठिन हो जाता है apt, क्योंकि ये डिजिटल हस्ताक्षर नकली नहीं हो सकते।

एक मैलवेयर संक्रमण की घटना का जवाब देने के लिए, सिस्टम को जमीन पर जलाने और हाल ही में (और ज्ञात-स्वच्छ) बैकअप से फिर से शुरू करने के लिए सबसे आसान तरीका है। लिनक्स की प्रकृति के कारण, मैलवेयर के लिए खुद को सिस्टम में इतना गहरा प्रकट करना बहुत आसान हो सकता है कि इसे कभी भी ढूंढ या निकाला नहीं जा सकता है। हालांकि, जैसे पैकेज clamavऔर rkhunterसंक्रमण के लिए एक प्रणाली को स्कैन करने के लिए इस्तेमाल किया जा सकता है।

काज वोल्फ
स्रोत
6
"सिस्टम को जमीन पर जलाएं" - वास्तव में अच्छी तरह से लिखित वायरस के लिए, यह लगभग शाब्दिक रूप से सच है। हार्डवेयर का भौतिक विनाश सुरक्षित होने जा रहा है; कुछ भी कम कठिन काम होने वाला है (उदाहरण के लिए, यदि हार्ड डिस्क फर्मवेयर को रूट किया गया है)।
मार्टिन बोनर
2
यह ध्यान देने योग्य है कि वे तीन उदाहरण परस्पर अनन्य नहीं हैं। आप थर्ड पार्टी पीपीए जोड़ सकते हैं जिसे MITM के माध्यम से हैक किया गया है।
el.pescado
11
कैसे (3) भी संभव है? पैकेज पर हस्ताक्षर किए जाते हैं, और उबंटू आधिकारिक रिपॉजिट के लिए सार्वजनिक कुंजी उबंटू इंस्टॉलेशन मीडिया से आती है। मुझे नहीं लगता कि आप एक नकली स्थापना मीडिया से शुरू होने तक संक्रमित हो सकते हैं।
फेडेरिको पोलोनी
6
आपको विकल्प संख्या 4 जोड़ना चाहिए: एक आधिकारिक पैकेज में कोड को अंडरहैंड किया गया। ईर्ष्या जैसे कीड़े दिखाते हैं, कि गंभीर कीड़े खुले रूप से बनाए हुए ओपन सोर्स सॉफ़्टवेयर में भी वर्षों तक मौजूद रह सकते हैं। इसलिए एक हमलावर के लिए हमेशा एक तरह से रिपॉजिटरी में दुर्भावनापूर्ण कोड को इंजेक्ट करने की संभावना होती है जो सहकर्मी-समीक्षा से बच सकता है। इस स्थिति में आप मूल सर्वर से पूरी तरह से हस्ताक्षरित पैकेज के रूप में पिछले दरवाजे को डाउनलोड करेंगे।
फाल्को
22
ध्यान दें कि स्थिति निश्चित रूप से बेहतर नहीं है कि यह गैर-लिनक्स सिस्टम पर है। वास्तव में इसके विपरीत है। विंडोज पर सॉफ्टवेयर प्राप्त करने का मानक तरीका इसे सचमुच कुछ यादृच्छिक साइट से डाउनलोड करना है और आशा है कि कुछ भी बुरा नहीं हुआ है। आप जो भी वर्णन करते हैं वह सबसे अच्छा है जो आप सुरक्षित रूप से स्थापित सॉफ़्टवेयर के संदर्भ में कर सकते हैं। (मुझे लगता है कि यह उत्तर में स्पष्ट रूप से उल्लेख के लायक है, क्योंकि कोई व्यक्ति जो इस प्रश्न को पूछता है वह नौसिखिया स्तर पर है और इसका एहसास नहीं हो सकता है।)
jpmc26
16

apt-getकेवल उन आधिकारिक उबंटू रिपॉजिटरी से इंस्टॉल किया जाएगा जो आपके स्रोतों में जोड़े गए रिपॉजिटरी से या जाँची गई हैं। यदि आप अपने पास आने वाले प्रत्येक भंडार को जोड़ते हैं, तो आप कुछ बुरा स्थापित कर सकते हैं। ऐसा मत करो।

न घुलनेवाली तलछट
स्रोत
1
ऐसे उदाहरण हैं, जब आपको अन्य वेबसाइटों से * .deb स्थापित करने की आवश्यकता होती है, लेकिन उनके पास sums / hash sums भी हैं जो मुझे विश्वास है। कई बार आपको अन्य रिपॉजिटरी से डाउनलोड करने के लिए एक ppa जोड़ने की आवश्यकता होती है, लेकिन apt-get कमांड का उपयोग अभी भी किया जाता है। यदि संभव हो तो ज्ञात "खराब वेबसाइटों" की सूची के खिलाफ ppa की जाँच करना अच्छा होगा ...
WinEunuuchs2Unix
8
एक चेकसम आकस्मिक भ्रष्टाचार से बचाता है, लेकिन जानबूझकर छेड़छाड़ नहीं करता - यह ओपनपीजीपी हस्ताक्षर है जो छेड़छाड़ से बचाता है।
चार्ल्स डफी
1
मान लें कि आपने उस व्यक्ति पर भरोसा किया है जिसने पैकेज पर हस्ताक्षर किए हैं और आप भरोसेमंद तरीके से कुंजी की जांच कर सकते हैं। ईमानदारी से, हालांकि, हर व्यक्ति कभी-कभी वेब से सॉफ्टवेयर डाउनलोड करता है। रिपोजिटरी बड़ी हैं लेकिन अनंत नहीं। सही सुरक्षा और विश्वास एक सपना है।
एंड्रिया लज्जाज़ारो
लेकिन क्या आप अतिरिक्त रिपॉजिटरी नहीं जोड़ सकते हैं?
जेरेमी
"यदि आप अपने पास आने वाले हर भंडार को जोड़ते हैं, तो आप कुछ बुरा स्थापित कर सकते हैं। ऐसा मत करो।"
मार्क
5

डाउनलोड की गई फ़ाइलों sudo apt-getकी तुलना उस फ़ाइल के लिए चेक राशि / हैश राशि से की जाती है ताकि यह सुनिश्चित किया जा सके कि इसमें छेड़छाड़ नहीं की गई है और यह वायरस रहित है।

वास्तव में लोगों की समस्याओं का सामना करना पड़ता है जब आप Google "sudo apt get hash sum" बहुत अधिक सुरक्षा वायरस के खिलाफ है।

लिनक्स किसी भी तरह से पूरी तरह से वायरस मुक्त नहीं है, हालांकि घटनाएं शायद खिड़कियों की तुलना में 1000 गुना कम हैं।

फिर मेरे स्क्रीन नाम को देखते हुए मैं पक्षपाती हो सकता हूं :)

28 नवंबर, 2017 को टिप्पणी में उल्लेख किया गया है कि कैसे विंडोज में लिनक्स की तुलना में 1,000 अधिक वर्कस्टेशन हैं इसलिए लिनक्स को हैक करने से परेशान क्यों हैं। यह इस तथ्य को सामने लाता है कि लिनक्स अब तेजी से सुपर-कंप्यूटर्स के सभी 500 पर चल रहा है और अधिकांश वेब्सवर्कर्स लिनक्स चला रहे हैं जो इंटरनेट से जुड़े सभी विंडोज वर्कस्टेशनों को हैक करने का सबसे अच्छा तरीका है।

Google Chrome, Android और Windows 10 उपयोगकर्ताओं को एक ही समय में अपनी गोपनीयता और संभवतः कुछ सुरक्षा देने का पर्याप्त अवसर देता है।

WinEunuuchs2Unix
स्रोत
4
एह? चेकसम मुद्दे आकस्मिक भ्रष्टाचार से बचने के बारे में इतने अधिक नहीं हैं जितना आकस्मिक भ्रष्टाचार - जब तक कि इस पर कोई हस्ताक्षर न हो (और हां, डेबियन पैकेज में भी OpenPGP हस्ताक्षर हैं), एक चेकसम को केवल उतना ही संशोधित किया जा सकता है जितना कच्चा डेटा स्वयं हो सकता है । यदि पैकेज पर एक चेकसम निर्माण समय पर मौजूद नहीं है, तो इसका मिलान नहीं होता है, इस बात की कोई उचित अपेक्षा नहीं है कि वांछित मूल सामग्री प्राप्त करने के लिए उस पैकेज को निकाला जा सकता है।
चार्ल्स डफी
@ जेरेमी फिर भी लिनक्स शीर्ष 500 सुपर-कंप्यूटर चला रहा है और अधिकांश वेब सर्वर जो सभी विंडोज क्लाइंट को हैक करने का एक शानदार तरीका है।
विनयुनुच्स 2 यूनिक्स
3

यद्यपि apt-get केवल आधिकारिक उबंटू रिपॉजिटरी से स्थापित होगा, यह 100% गारंटी नहीं देता है कि आपको जो पैक मिला है वह साफ है।

यदि रिपॉजिटरी हैक हो गई है, तो हैकर पैकेज में नुकसान कोड को इंजेक्ट कर सकता है। एक उदाहरण के रूप में लिनक्स मिंट सर्वर को हैक किया गया था, और हैकर ने उनकी आईएसओ फाइलों में मैलवेयर इंजेक्ट किया था। http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/

पीटी ह्योनह
स्रोत
3
यहां तक ​​कि एनएसए, डीएनसी और बिटकॉइन एक्सचेंजों को हाल ही में हैक किया गया है। मुझे लगता है कि यह कहना सुरक्षित है कि Ubuntu रिपॉजिटरी 99.99999% वायरस मुक्त है जो प्रश्न और हमारे उत्तरों की भावना है। वास्तव में कोई भी इस Q & A में उबंटू वायरस के साथ नहीं आया है। लंबे समय तक चलने वाला लिनक्स वायरस / मैलवेयर है जिसे केएएसएलआर ठीक करता है जिसके बारे में ज्यादातर लोगों को पता भी नहीं होता है और मैं केवल एक गैर-एमएसएम वैकल्पिक वेबसाइट के बारे में पढ़ता हूं जो गैर-लिनक्स आधारित और पूरी तरह से वैश्विक समाचार आधारित है। मैं कहना चाहूंगा कि लिनक्स में विंडोज और उबंटू अपडेट की तुलना में बहुत कम वायरस सुरक्षित हैं। हालांकि हमेशा वेबसाइटों से सावधान रहें।
विनयुनुच्स
2
एक आईएसओ में और उपयुक्त सर्वर में दुर्भावनापूर्ण कोड को इंजेक्ट करने के बीच एक बड़ा अंतर है। आईएसओ पूरी तरह से हस्ताक्षरित नहीं हैं - वहां आधुनिक टूलिंग उपलब्ध है जो इस तरह के हस्ताक्षर के लिए इस्तेमाल किया जा सकता है (कर्नेल की रक्षा के लिए EFI हस्ताक्षर, GRUB OpenPGP सत्यापन, रूट सिस्टम की सुरक्षा के लिए कर्नेल और initrd, dm-verity), लेकिन डी.एम. -verity का व्यापक रूप से अभी तक ChromeOS के बाहर उपयोग नहीं किया गया है। दूसरी ओर, उपयुक्त सर्वर की सामग्री, सभी में OpenPGP हस्ताक्षर हैं - आपको उन्हें बनाने के लिए विश्वसनीय डेवलपर्स में से एक के कार्य केंद्र में तोड़ने की आवश्यकता होगी।
चार्ल्स डफी
1
आईएसओ इंजेक्षन और संक्रमित उपयुक्त पैकेज की सेवा पूरी तरह से अलग हैं। एक सर्वर को हैक किया जा सकता है और संक्रमित आइसो को परोसा जा सकता है, लेकिन इस तरह वितरित नहीं किया जा सकता। ऐसे संकेत हैं जो इसे रोकेंगे
अनवर
-4

आपकी sudo अनुमतियाँ क्या हैं, इस पर निर्भर करता है। मूल प्रवेश? सभी दांव बंद हो गए हैं - आप वास्तव में पारिस्थितिकी तंत्र में अपना विश्वास रखने वाले हैं, जो सुरक्षित हो सकता है या नहीं भी हो सकता है। मुझे लगता है कि यह एक भयानक विचार है लेकिन मैं इसे हर समय करता हूं क्योंकि यह एकमात्र विकल्प है। यदि आप एक संवेदनशील इंस्टॉलेशन चला रहे हैं, जहां सुरक्षा एक प्रीमियम पर है, तो एक ऐसी चीज़ पर सुडो चलाना जो आपको पूरी तरह से नियंत्रित नहीं करता है, शायद पागल है। यदि आप सिर्फ एक नियमित विद्वान हैं तो आप शायद ठीक हैं।

mobileink
स्रोत
यहाँ सवाल यह है कि क्या और किस हद तक उपयुक्त-पारिस्थितिक तंत्र वास्तव में सुरक्षित है, जो मुझे यकीन नहीं है कि यह उत्तर सिर पर संबोधित करता है। "भयानक विचार" के रूप में - ऑपरेटिंग सिस्टम के साथ विश्वसनीय डेवलपर्स के स्वामित्व वाली ओपनपीजीपी कुंजियों को वितरित करने से परे (जैसा कि पहले से ही किया गया है), और अतिरिक्त कुंजियों को सक्षम करने के लिए स्पष्ट उपयोगकर्ता कार्रवाई की आवश्यकता होती है (जैसे कि पीपीए जोड़ते समय), अतिरिक्त उपाय क्या कर सकते हैं या कर सकते हैं। यदि आप अपने स्वयं के सॉफ़्टवेयर वितरण प्रणाली का निर्माण कर रहे हैं तो आप जोड़ सकते हैं?
चार्ल्स डफी
नहीं, प्रश्न बहुत स्पष्ट है। बस सेशन पढ़ा। "क्या मुझे वायरस मिल सकता है?" हां, असमान रूप से। अपने खुद के सॉफ्टवेयर वितरण प्रणाली का निर्माण एक पूरी तरह से अलग सवाल है।
मोबाइल
ps। मैंने कहा "मुझे लगता है" यह एक भयानक विचार है, जिसे चुनौती नहीं दी जा सकती। मैं वास्तव में यह सॉफ्टवेयर वितरण प्रणाली के लिए सूडो की आवश्यकता के लिए एक भयानक विचार है।
मोबाइल
6
मैं तर्क दूंगा कि एक अनपेक्षित उपयोगकर्ता को उन स्थानों में सॉफ़्टवेयर स्थापित करने की अनुमति देना और भी अधिक भयानक विचार है, जहां वह अन्य अनपेक्षित उपयोगकर्ताओं के लिए डिफ़ॉल्ट पथ में है। होमब्रेव यहां एक गंभीर अपराधी है - जैसे ही इसकी स्थापना की जाती है, संबंधित यूआईडी के तहत चलने वाली कोई भी समझौता प्रक्रिया /usr/local/binउपयोगकर्ता को यह सुनिश्चित करने के लिए सॉफ्टवेयर के बिना स्थापित कर सकती है कि वे प्रशासनिक गतिविधि की अनुमति देने का इरादा रखते हैं।
चार्ल्स डफी
3
सैद्धांतिक रूप से संभव है, लेकिन बहुत कम संभावना है। और यह सिक्योरिटी एसई नहीं है जहां हम सैद्धांतिक के व्यवसाय में हैं - यह उबंटू से पूछें, अभ्यास पर आधारित प्रश्नों के साथ अंतिम उपयोगकर्ताओं पर ध्यान केंद्रित किया गया है।
चार्ल्स डफी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.