¿Cómo se asegura Ubuntu de que los paquetes y los ISO de los espejos estén seguros?

22

Mi ubicación actual está a miles de kilómetros del servidor principal de Ubuntu y estoy obligado a usar uno de sus espejos en mi país de domicilio.

¿Los propietarios de Ubuntu implementan medidas para verificar periódicamente sus archivos (por ejemplo, ISO, actualizaciones, parches de seguridad) en sus sitios espejo no han sido alterados y / o los hackers no han introducido malware / troyanos?

Mi experiencia personal con la instalación y actualización de Ubuntu desde el servidor principal tomó al menos dos horas, mientras que el mismo proceso tomó solo 10 a 15 minutos cuando utilicé el sitio espejo de Ubuntu disponible en mi país.

n00b
fuente
11
@ the down-votantes: por favor explique por qué votó en contra en un breve comentario; En todo caso, consideraría esta pregunta como mínimo un esfuerzo por expresar una preocupación legítima. Si tiene motivos para creer que uno no tiene por qué preocuparse, explique por qué. Gracias.
chiflado sobre natty
99
Votantes cercanos: Esto no está fuera de tema. Podría beneficiarse de un refinamiento, después de todo, esencialmente nada en el mundo es a prueba de piratas informáticos y manipulaciones. Pero una pregunta que pregunta qué medidas de seguridad toma el proyecto Ubuntu para monitorear la seguridad de los espejos que otros mantienen, que es lo que está pidiendo, es buena (tanto en general como para nuestro sitio de acuerdo con las preguntas frecuentes).
Eliah Kagan
Lo he retitulado un poco para ser más general, lo que debería abordar los puntos de la pregunta.
Jorge Castro
1
Lectura relacionada: askubuntu.com/questions/56509/…
2
Para los ISO, creo que puede hacer una comprobación de hash MD5 en el ISO descargado desde el espejo contra el MD5 obtenido del padre. Como es el mismo ISO, debe tener el mismo MD5 que en el sitio principal.
Ahmadgeo

Respuestas:

16

Los paquetes en el archivo de Ubuntu están firmados con una clave GPG, que cualquier persona que intente reemplazar el código en el espejo, no necesariamente tiene. Sería posible falsificar un paquete firmado, pero no es súper trivial hacerlo.

Generalmente puede confiar en los paquetes firmados con estas claves GPG. Al actualizar update-managero aptse le avisará cuando los paquetes no estén firmados con una clave que se encuentra en el llavero de paquete apto del sistema. Deberá aceptar manualmente la instalación de dichos paquetes. Si ve esta advertencia para un paquete que viene del archivo oficial de Ubuntu, o un espejo del mismo, probablemente no debería instalar el paquete e informar inmediatamente de un error al respecto.

Para los ISO, deberá verificar los hashes de suma de comprobación con lo que hay en los servidores oficiales de Ubuntu.

dobey
fuente
1
@ dobey: Gracias por la información. Sería bueno si The Ubuntu Project proporciona una lista actualizada de espejos de confianza; en particular deseo saber si los espejos en mi país de domicilio han sido certificados como confiables por The Ubuntu Project.
n00b
1
Si le preocupa la seguridad / estabilidad, probablemente no debería agregar PPA. Los paquetes en ellos están firmados, pero no hay garantías reales con ellos, en general.
dobey
1
No sé si los servidores espejo verifican las firmas GPG y las sumas de verificación de los paquetes o no. Sin embargo, el software ejecutado localmente en su sistema verifica las firmas GPG.
dobey
1
you should probably not install the package, and immediately report a bug about it. Creo que correr apt-get update, volver a intentarlo y luego informar un error es un mejor enfoque. A veces, si la conexión se interrumpe durante una apt-get update, también recibirá la misma advertencia si intenta instalar un paquete antes de actualizar nuevamente.
Dan
1
@Dan las advertencias en ese momento es durante la actualización de la información del paquete, no la instalación de paquetes. Esto se trata de la instalación de paquetes.
dobey