Estoy tratando de entender el do-release-upgrade
proceso, es decir, la forma en que Ubuntu me pide que actualice a la próxima versión de Ubuntu de primavera u otoño.
Después de leer las fuentes ubuntu-release-upgrader
, encontré el archivo / etc / update-manager / meta-release en mi sistema. Este archivo parece utilizar una URL HTTP para apuntar a http://changelogs.ubuntu.com/meta-release donde se enumeran las diversas versiones de Ubuntu de Warty 04.10 a Raring 13.04. Este archivo enumera los lanzamientos, su estado de soporte, la fecha de lanzamiento y tiene un enlace al Release
archivo.
Ahora el Release
archivo tiene una firma GPG correspondiente y el sha1sum del Packages
archivo que, a su vez, tiene el sha1sum de los binarios DEB individuales que se instalan. Los lanzamientos recientes también tienen un script de actualización y una firma GPG correspondiente para estos también. Todo suena bien
Mi pregunta es sobre el meta-release
archivo en sí. No se sirve a través de HTTPS y no puedo encontrar una firma GPG para ello. Si alguien reemplaza este archivo, ¿podrían de alguna manera hacer que mi máquina se actualice ...
- ... a un lanzamiento firmado que aún no ha pasado por las pruebas de seguridad?
- ... a una versión anterior que no es compatible y tiene vulnerabilidades de seguridad sin reparar?
UpgradeToolSignature
todavía está allí, por lo que solo se actualizará utilizando una herramienta firmada por Canonical (pero sí, eso no mitiga las preocupaciones que tiene).Respuestas:
do-release-upgrade requiere derechos de administrador, y si está en una versión LTS, se mantendrá en eso y no le hará subir automáticamente una versión. Si utiliza fuentes no oficiales, se muestran varios mensajes de advertencia.
Sin embargo, las variantes de GUI en esto no son, para el usuario final, diferentes a UAC en Windows, donde cualquiera que no tenga una mentalidad técnica suficiente simplemente hará clic en el botón o ingresará la contraseña, ignorará las advertencias y se irá a preparar una taza de té. Entonces, en la práctica, no es más o menos seguro que Windows Update.
En resumen: no confiaría en que la actualización sea segura. De hecho, si estás en un LTS y estás usando Ubuntu para cosas de misión crítica, evitaría actualizar una versión principal hasta que tu versión ya no sea compatible: la actualización rompe cosas de manera sutil, lo que lleva tiempo para que lo arregles.
fuente
Solo el administrador puede causar cambios permanentes en los archivos en la PC. Los usuarios invitados no pueden cambiar estos (o cualquier otro) archivo, por lo que nadie más que el propio administrador puede hacer que el administrador de actualizaciones busque algún enlace potencialmente dañino.
ahora, el administrador no dañará su propia PC (a menos que esté loco). Y uno nunca debe permitir que ninguna tercera persona acceda a los derechos de administrador. Por lo tanto, prácticamente no hay riesgo.
En resumen, " alguien " no puede cambiar este archivo. Solo el administrador puede hacer cambios en los archivos.
Finalmente, el boletín semanal de Ubuntu lo mantiene actualizado con las actualizaciones / actualizaciones recientes. Puede confirmarlo para garantizar la mejor seguridad de su PC.
fuente