Así que estaba navegando por la web el otro día, y me encontré con algunos lugares que querían que descargara .deb
archivos, y como están instalados por root (y como tales tienen los "poderes" y capacidades de root), no estaba seguro sobre eso.
Así que estaba navegando por la web el otro día, y me encontré con algunos lugares que querían que descargara .deb
archivos, y como están instalados por root (y como tales tienen los "poderes" y capacidades de root), no estaba seguro sobre eso.
Cosas para considerar:
¿Qué tan conocido es el sitio? Por ejemplo, ¿era un blog aleatorio cubierto de anuncios, era un usuario aleatorio en algún foro o era un sitio conocido y respetado?
¿Qué dice instalar? Por ejemplo, ¿afirma instalar un núcleo o un conjunto de iconos, pero tiene solo 1 MB de tamaño?
¿Qué tan "importante" es tener el contenido de esto .deb
?
Formas de probar cosas de forma segura:
Uso arkose
( está en los
repositorios estándar ) sandboxing con mis debs (y otras cosas). Úselo de esta manera:
sudo arkose -n -c "cd $PWD; $SHELL"
Lo que eso me da es una "caja de arena" (también conocida como "YAY I CAN SCREW UP!") Con acceso de copia en escritura a todo en mi computadora, incluido mi directorio de inicio, así que si el desagradable desagradable lo .deb
hace sudo rm -rf /*
, NO LO HAGO ¡PIERDA CUALQUIER DATO!
Otra cosa que no está lo suficientemente estresada es HACER COPIAS DE SEGURIDAD . Esos son extremadamente útiles, y tenemos muchas preguntas sobre el tema.
En resumen, solo asegúrese de pensarlo, y no solo descargue una deb aleatoria e instálela.
.deb
archivo con el rodillo para ver qué hay dentro. Aunque debo decir que descargué un deb aleatorio de un usuario aleatorio en un hilo aleatorio en los foros de Ubuntu para solucionar mis problemas con mi impresora, funcionó.Si está descargando un paquete de fuentes no confiables o cuestionables, sea paranoico. En foros populares como ubuntuforums.org, si un usuario hace su primera publicación que contiene solo un texto breve como "¡instalar esto, funciona para mí!", Seguido de un enlace, tenga cuidado con ese enlace y / o instrucciones.
No use paquetes binarios si es posible, especialmente de fuentes no confiables. Obtenga la fuente (para los paquetes oficiales de Ubuntu, esto se puede hacer con
apt-get source package-name
) y eche un vistazo.Si el paquete en cuestión es pequeño, puede valer la pena analizarlo. Yo prefiero usar el terminal para eso porque entonces acceso rápido a otras herramientas de gran alcance de línea de comandos como
ls
,find
,file
,less
,vim
,grep
,sed
,dpkg
y muchos otros. Haga uso de completar pestañas (es decir, presionar Tabpara completar comandos y nombres de archivos), ¡realmente ahorra tiempo!Para descargar un archivo .deb, puede usar el navegador, pero copiar el enlace y luego usarlo
wget
es más rápido ya que ya puede experimentar con él.A continuación, es hora de verificar el archivo en sí.
less
(a travéslesspipe
) puede proporcionar una visión general rápida del contenido del archivo. Las teclas de flecha, página arriba / abajo, inicio / fin pueden ser útiles para navegar, Qsale del programaDespués de esto, obtiene una visión general de las dependencias del paquete y qué tipo de archivos contiene. Tiempo para extraer los archivos y analizar los contenidos usando
dpkg-deb
. El primer comando extrae el árbol de archivos en un directorio recién creadofs
, el segundo lo extraeDEBIAN
porque no se especifica ningún otro objetivo:Vamos a utilizar
less
de nuevo para analizar el contenido de los programas de desarrollador (es decir, los archivos que se van a utilizar / se ejecutan durante la instalación (y eliminación).prerm
,preinst
,postrm
,postinst
Son las secuencias de comandos se ejecutan antes / después de la eliminación / instalación que son los archivos más importantes para analizar Use:n
y:p
para cambiar entre los archivos. Al presionar=
, obtiene el nombre del archivo actual y el número de línea, así como el número de archivos que están en la lista.Si las secuencias de comandos del paquete se ven sanas, es hora de analizar el contenido instalado (use tabulación completa). Para los scripts de shell y los scripts interpretados (como Python), el análisis es más fácil (suponiendo que se le conoce con el lenguaje).
Preste especial atención a los archivos de configuración, especialmente si están utilizando directorios como
/etc/init
(para scripts de inicio) u/etc/modprobe.d
(opciones para cargar módulos del kernel).Para los archivos binarios,
ldd
puede dar una idea de para qué podría usarse un programa. El siguiente programa se parece a un programa gráfico que usa OpenGL.Después de que esté seguro de que el paquete se parece válida, puede ir en instalarlo en VirtualBox arrancar desde un Live CD y el uso
ps aux
,top
,strace -f -o logfile.txt programname
para su posterior análisis.fuente