Comment Ubuntu garantit-il que les packages et les ISO des miroirs sont sûrs?

Mon emplacement actuel est à des milliers de kilomètres du serveur principal d'Ubuntu et je suis obligé d'utiliser l'un de ses miroirs dans mon pays de domicile.

Les propriétaires d'Ubuntu mettent-ils en œuvre des mesures pour vérifier périodiquement leurs fichiers (par exemple, les ISO, les mises à jour, les correctifs de sécurité) sur leurs sites miroirs n'ont pas été falsifiés et / ou des logiciels malveillants / chevaux de Troie n'ont pas été introduits par des pirates?

Mon expérience personnelle avec l'installation et la mise à jour d'Ubuntu à partir du serveur principal a pris au moins deux heures alors que le même processus n'a pris que 10 à 15 minutes lorsque j'ai utilisé le site miroir Ubuntu disponible dans mon pays.

mirrors

— n00b
source

@ les votants: plz expliquer pourquoi vous avez voté contre dans un bref commentaire; je considérerais cette question au moins comme un effort pour exprimer une préoccupation légitime. Si vous avez des raisons de croire que vous n'avez pas à vous en préoccuper, veuillez expliquer pourquoi. Merci.

— noisette sur natty

Électeur (s) proche (s): Ce n'est pas hors sujet. Il pourrait bénéficier d'un certain raffinement - essentiellement rien au monde n'est anti-piratage et inviolable, après tout. Mais une question demandant quelles mesures de sécurité sont prises par le projet Ubuntu pour surveiller la sécurité des miroirs qui sont maintenues par d'autres - ce que cela demande - est bonne (à la fois en général et pour notre site conformément à la FAQ).

— Eliah Kagan

Je l'ai retitré un peu pour être plus général, ce qui devrait répondre aux points de la question.

— Jorge Castro

Lecture connexe: askubuntu.com/questions/56509/…

Pour les ISO, je pense que vous pouvez faire un contrôle de hachage MD5 sur l'ISO téléchargé depuis le miroir par rapport au MD5 obtenu du parent. Comme il s'agit du même ISO, il doit avoir le même MD5 que sur le site parent.

— Ahmadgeo

Les packages dans l'archive Ubuntu sont signés avec une clé GPG, ce que toute personne tentant de remplacer le code sur le miroir n'a pas nécessairement. Il serait possible de forger un package signé, mais ce n'est pas super trivial de le faire.

Vous pouvez généralement faire confiance aux packages signés avec ces clés GPG. Lors de la mise à jour via update-managerou aptvous serez averti lorsque les packages ne sont pas signés avec une clé qui se trouve dans le trousseau de clés du package apt système. Vous devrez accepter manuellement l'installation de ces packages. Si vous voyez cet avertissement pour un paquet provenant des archives officielles d'Ubuntu, ou un miroir de celui-ci, vous ne devriez probablement pas installer le paquet et signaler immédiatement un bogue à ce sujet.

Pour les ISO, vous devrez vérifier les hachages de somme de contrôle avec ce qui se trouve sur les serveurs Ubuntu officiels.

— dobey
source

@ dobey: Merci pour l'info. Ce serait bien si le projet Ubuntu fournit une liste à jour de miroirs de confiance; en particulier, je souhaite savoir si les miroirs de mon pays de résidence ont été certifiés de confiance par The Ubuntu Project.

— n00b

Si vous vous souciez de la sécurité / stabilité, vous ne devriez probablement pas ajouter de PPA. Les paquets qu'ils contiennent sont signés, mais il n'y a pas de réelles garanties avec eux, en général.

— dobey

Je ne sais pas si les serveurs miroirs vérifient ou non les signatures GPG et les sommes de contrôle des packages. Le logiciel exécuté localement sur votre système vérifie cependant les signatures GPG.

— dobey

you should probably not install the package, and immediately report a bug about it. Je pense que courir apt-get update, réessayer puis signaler un bug est une meilleure approche. Parfois, si la connexion est interrompue pendant un, apt-get updatevous obtiendrez le même avertissement si vous essayez d'installer un package avant de mettre à jour à nouveau.

— Dan

@Dan les avertissements à ce moment-là concernent la mise à jour des informations sur le package, et non l'installation des packages. Il s'agit de l'installation de packages.

— dobey