问题描述
我想确保使用sudo apt-get install下载软件是安全的。包裹是否在某处被扫描?是否所有软件包都使用此命令免费下载?
如果无法保证它们不是无病毒的,那么在安装包含病毒的软件包之后,攻击者是否可以完全控制我的机器?有什么方法可以检查我的计算机上安装的所有软件包吗? (不是由系统自动完成的,我想过滤它们以查看我手动安装的所有软件包,而不是系统。)
最佳解决办法
apt在默认的Ubuntu系统上将不太可能得到病毒。但是,这并不意味着这是不可能的:
-
恶意PPA APT的其中一项功能是管理员可以将个人软件包归档(PPA)或其他软件源添加到APT缓存中。这些third-party APT来源不一定是可信的,并且可能携带病毒。但是,这需要机器管理员的有意操作来添加其中一个受感染源,这使得添加自己很难。
-
黑客存储库理论上,一个软件存储库可能会被恶意方攻击,从而导致下载的
.deb文件可能携带恶意负载。然而,官方软件库非常小心,这些存储库的安全性非常严格。黑客应该是hard-pressed,将其中一个官方Ubuntu软件源取消,但third-party软件源(见上文)可能会更容易受到攻击。 -
主动MITM /网络攻击如果网络受到较高的攻击(通过您的ISP),可能会从官方软件源中获取病毒。但是,这种口径的攻击需要付出极大的努力和Man-In-The-中间许多站点的能力,包括GPG密钥分发服务器和官方回购。
-
编写不当/恶意代码漏洞确实存在于开源,peer-reviewed和维护代码中。虽然这些东西在技术上没有被视为”viruses”的定义,但某些隐藏或从未在代码中暴露过的漏洞利用可能会允许恶意攻击者在您的系统上安装病毒。这种类型问题的一个例子是来自OpenSSL的Heartbleed或much-more-recent肮脏的CoW。请注意,
universe或multiverse回购计划是该口径的潜在威胁,如here所述。
apt(由于其在Linux系统上的重要性)在客户端和服务器端的几乎所有这些类型的攻击方面都受到相当严密的保护。尽管这些攻击是可能的,但知道自己在做什么并知道如何读取错误日志的管理员将能够防止发生这些攻击。
此外,apt还会执行签名验证以确保下载的文件是合法的(并且可以正确下载),从而更难以通过apt潜入恶意软件,因为这些数字签名不能伪造。
至于响应恶意软件感染事件,绝对最简单的方法是将系统烧毁至地面并从最近(和known-clean)备份开始重新启动。由于Linux的特性,恶意软件可能非常容易在系统中表现得如此之深以致永远无法找到或提取。但是,像clamav和rkhunter这样的软件包可以用来扫描系统感染。
次佳解决办法
apt-get只能从官方的Ubuntu存储库中安装,这些存储库已被选中或者已经添加到源代码中。如果您添加所遇到的每个存储库,则最终可能会安装一些令人讨厌的内容。不要这样做。
第三种解决办法
将由sudo apt-get下载的文件与该文件的校验和/哈希总和进行比较,以确保该文件没有被篡改并且无病毒。
事实上,当你谷歌“sudo apt得到哈希总和”遇到的问题是对病毒的太多安全性。
不管怎样,Linux不是完全没有病毒,但事件可能比窗口少1000倍。
然后再次通过我的屏幕名称来判断我可能会有偏见:)
2017年11月28日评论提及Windows如何拥有比Linux多1,000个工作站,那么为什么还要打扰Linux。它提出了Linux在所有500个更快的Super-Computers上运行的事实,并且大多数Web服务器都运行Linux,这使它成为攻击所有连接到互联网的Windows工作站的最佳方式。
Google Chrome,Android和Windows 10为用户提供了充分的机会,可以同时泄露他们的隐私和可能的安全性。
第四种办法
尽管apt-get只能从官方的Ubuntu存储库安装,但并不能保证100%的包装是干净的。
如果存储库被黑客入侵,黑客可能会将损害代码注入到包中。作为一个例子,Linux Mint服务器被黑客攻击,黑客将恶意软件注入到他们的ISO文件中。 http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/