हानिकारक AUR पैकेजों को कैसे पहचानें

11

मुझे कैसे पता चलेगा कि क्या एक पैकेज जो आर्क लाइनर पर यियुटर्ट के माध्यम से स्थापित है, मेरे पीसी के लिए हानिकारक हो सकता है? मैं विकी में पढ़ता हूं कि मुझे आपके द्वारा किए गए प्रत्येक इंस्टॉलेशन की जांच करनी चाहिए। लेकिन वास्तव में मुझे क्या जांचना है और मैं दुर्भावनापूर्ण पैकेजों को कैसे पहचान सकता हूं?

arch-linux  security  yaourt 
lup3x
स्रोत
आपको AUR के बिना आधिकारिक पैकेज का उपयोग करना चाहिए। इसकी कोई गारंटी नहीं है क्योंकि कोई भी AUR को कुछ भी अपलोड कर सकता है, केवल एक पंजीकरण की आवश्यकता है। AUR- पैकेज की टिप्पणियों और वोटों की जाँच करें, शायद यह एक अच्छा शुरुआती बिंदु है।
uzsolt
विकी इंस्ट्रक्शंस को इंस्टाल करने से पहले PKGBUILD को पढ़ना है ...
jasonwryan
3
@uzsolt यह बेहूदा हास्यास्पद है: AUR में बहुत सारे बेहतरीन पैकेज हैं, जिनमें से कुछ को आधिकारिक रिपॉजिट से स्थानांतरित कर दिया गया है। सिद्धांत रूप में, AUR पैकेज का उपयोग करना ठीक है; यह समझना महत्वपूर्ण है कि आप क्या स्थापित कर रहे हैं।
जसोनव्रीयन
1
यह संदेहास्पद है लेकिन किसी को कैसे पता चल सकता है कि aur-fooपैकेज हानिकारक है या नहीं। क्या एक सामान्य नियम या एल्गोरिथ्म मौजूद है? मुझे लगता है, नहीं। और PKGBUILD के पढ़ने के लिए पर्याप्त नहीं है - लगता है कि एक हानिकारक सी-प्रोग्राम स्थापित करेगा। क्या आप स्थापित करने से पहले पूर्ण स्रोत कोड पढ़ते हैं? मुझे लगता है कि टिप्पणियों (रिपोर्टों, चेतावनियों) और वोटों की जांच करनी चाहिए (यदि कई-कई वोट हैं तो यह उतना बुरा नहीं है)। मैं कई AUR पैकेज का उपयोग कर रहा हूं और मुझे लगता है कि इनमें से अधिकांश अच्छे हैं। लेकिन ... शैतान कभी सोता नहीं है :)
uzsolt

जवाबों:

7

आप वास्तव में नहीं, कोड का व्यापक ऑडिट किए बिना और इसे "बाहर से" कार्रवाई में देख सकते हैं, उदाहरण के लिए एक वर्चुअल मशीन का उपयोग करके। दुर्भावनापूर्ण पैकेजों को खोजने के लिए कोई बुलेटप्रूफ तरीका नहीं है, और निश्चित रूप से कोई स्वचालित तरीका नहीं है जो अपेक्षाकृत आसानी से खतना नहीं कर सकता है। कुछ चीजें जो आप वास्तविक रूप से कर सकते हैं, जिनमें से कोई भी चांदी की गोलियां नहीं हैं:

  • पैकेज डाउनलोड करें, इसे अनपैक करें (इसे इंस्टॉल न करें !) और अनपैक की गई फ़ाइलों पर वायरस चेक करें। यह कुछ जानी-मानी समस्याओं का पता लगा सकता है, लेकिन लक्षित या कस्टम हैक नहीं।
  • इसका उपयोग करने से पहले, इसे एक वर्चुअल मशीन पर स्थापित करें और जांचें कि यह "संदिग्ध" कुछ भी नहीं करता है, जैसे कि इसे फाइलों को छूना, बाहरी सर्वरों के साथ संचार करना, अपने आप ही डेमॉन प्रक्रियाओं को शुरू करना, आदि। यह इस तरह की चीजें कर सकता है जैसे समय के आधार पर, उदाहरण के लिए एक्स घंटे के लिए चलने के बाद, और ऐसा कोई तरीका नहीं है जिसे आप कोड के विस्तृत निरीक्षण के बिना जानते होंगे। रूटकिट डिटेक्टर कुछ इस को स्वचालित कर सकते हैं।
  • प्रतिबंधित वातावरण में स्थापित करें। सिलेक्टक्स, चेरोट जेल, वर्चुअल मशीन, अलग डिस्कनेक्ट की गई मशीन और कई अन्य चीजों में विभिन्न प्रकार के समस्याग्रस्त सॉफ़्टवेयर शामिल हो सकते हैं, जो सादे खराब से सक्रिय रूप से दुर्भावनापूर्ण हैं।
  • मूल्यवान (लेकिन गुप्त नहीं) डेटा को अलग-अलग सर्वरों पर रखा जा सकता है, केवल बिना पढ़े मशीन को दिए गए एक्सेस के साथ।
  • गुप्त डेटा को एक मशीन पर रखा जाना चाहिए जो अविश्वसनीय मशीन से पहुंच से बाहर है। किसी भी संचार को हटाने योग्य मीडिया के माध्यम से मैन्युअल प्रतियां होनी चाहिए।

अंत में, केवल सुरक्षित सॉफ़्टवेयर कोई सॉफ़्टवेयर नहीं है। क्या आप वाकई उन सॉफ़्टवेयर को स्थापित करना चाहते हैं जिन पर आपको भरोसा नहीं है? क्या कोई प्रसिद्ध, विश्वसनीय विकल्प नहीं है?

l0b0
स्रोत
खैर मैं सिर्फ xflux और सूरज JDK के लिए विकी प्रविष्टियों का पालन किया। क्या AUR की हर प्रविष्टि के लिए आपका गाइड है या क्या मैं उन पैकेजों पर भरोसा कर सकता हूं जिनमें एक व्यापक wiki.archlinux लेख है?
ल्यूप
4
आपको कोई नहीं बता सकता कि किस पर भरोसा करें। किसी को नहीं पता कि किस पर भरोसा किया जाए। आप केवल अपने अनुभव के आधार पर एक निर्णय कॉल कर सकते हैं, उन लोगों की सलाह, जिन पर आप भरोसा करते हैं, पैकेज की लोकप्रियता, या किसी भी अन्य न्यायवादी जिसे आप पर्याप्त मानते हैं।
l0b0
धन्यवाद मैं नए पैकेज स्थापित करते समय इसे ध्यान में
रखूंगा
2
मैं अनिश्चित हूं कि क्या @ l0b0 की सलाह पर भरोसा करना चाहिए।
2
1
@Sparhawk अच्छा है, हम सब के बाद इंटरनेट पर कर रहे हैं, और विश्वास करने के लिए जो है एक व्यक्तिगत निर्णय किया जाना है।
l0b0
3

जैसा कि पहले उल्लेख किया गया है, आप निश्चित रूप से नहीं जान सकते।

व्यक्तिगत रूप से उपयोग किए जाने वाले मुख्य उत्तराधिकारियों में से एक हैं:

  • PKGBUILD को पढ़ें और पता करें कि वह किन वेबसाइटों से सॉफ्टवेयर डाउनलोड कर रहा है। क्या यह आप की उम्मीद है? क्या यह एक विश्वसनीय स्रोत से है? उदाहरण के लिए हाजिर करें, इसका स्रोत ' http://repository.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amdad.deb ' है।

अगर मैं इसे मैन्युअल रूप से स्थापित करने का प्रयास करने जा रहा था, तो मैं इसे Spotify.com से वैसे भी डाउनलोड कर रहा हूं, इसलिए यह मेरी पुस्तकों में ठीक है। PKGBUILD के बाकी हिस्सों का एक संक्षिप्त स्किम पढ़ा गया है और यह स्पष्ट रूप से असामान्य कुछ भी नहीं करता है। बेशक, डरपोक होने के तरीके हैं, लेकिन मुझे लगता है कि AUR पर किसी भी दुर्भावनापूर्ण कोड के लिए मुख्य लक्ष्य याकोर्ट आदि का उपयोग करने वाले लोग होंगे जो सॉफ़्टवेयर स्थापित करने से पहले आमतौर पर PKGBUILD नहीं पढ़ते हैं और समस्या को स्पष्ट नहीं होने पर भी स्पॉट नहीं करेंगे। ।

kellpossible
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.