Ubuntu는 미러의 패키지 및 ISO를 어떻게 안전하게 유지합니까?

현재 위치는 우분투의 주 서버에서 수천 킬로미터 떨어져 있으며, 거주 국가에서 미러 중 하나를 사용해야합니다.

Ubuntu 소유자는 미러 사이트에서 파일 (예 : ISO, 업데이트, 보안 패치)을 주기적으로 확인하는 조치가 변경되지 않았거나 해커가 맬웨어 / 트로이 목마를 도입하지 않았습니까?

메인 서버에서 Ubuntu를 설치하고 업데이트하는 데 개인적인 경험은 적어도 2 시간이 걸렸지 만, 자국에서 사용 가능한 Ubuntu 미러 사이트를 사용했을 때 동일한 프로세스는 10-15 분 밖에 걸리지 않았습니다.

mirrors

— n00b
소스

@ 다운 투표자 : plz는 왜 짧은 의견으로 다운 투표했는지 설명합니다. 만약 내가이 질문 을 적어도 합법적 인 관심사로 표현하려는 노력으로 생각한다면 말이다. 걱정할 필요가 없다고 생각할만한 이유가 있다면 PLZ가 그 이유를 설명하십시오. 고맙습니다.

— natty에 대해 nutty

유권자 닫기 : 이는 주제를 벗어난 것이 아닙니다. 그것은 세계적으로 해커와 훼손 방지 기능이 전혀 없다는 것을 의미합니다. 그러나 우분투 프로젝트 가 다른 사람들이 유지 관리하는 미러의 보안을 모니터링하기 위해 어떤 보안 조치를 취해야하는지에 대한 질문 은 이것이 바람직한 것입니다 (일반적으로 그리고 사이트에 따라). FAQ).

— Eliah Kagan

나는 질문의 요점을 다루는 좀 더 일반적으로 제목을 붙였습니다.

— Jorge Castro

관련 독서 : askubuntu.com/questions/56509/…

ISO의 경우 부모에서 얻은 MD5에 대해 미러에서 다운로드 한 ISO에 대해 MD5 해시 검사를 수행 할 수 있습니다. 동일한 ISO이므로 상위 사이트에서와 동일한 MD5를 가져야합니다.

— Ahmadgeo

Ubuntu 아카이브의 패키지에는 미러의 코드를 바꾸려는 사람이 반드시 가지고 있지 않은 GPG 키로 서명되어 있습니다. 서명 된 패키지를 위조 할 수는 있지만 그렇게 간단하지는 않습니다.

일반적으로 이러한 GPG 키로 서명 된 패키지를 신뢰할 수 있습니다. 업데이트시 update-manager또는 apt시스템 apt 패키지 키 링에있는 키로 패키지에 서명하지 않은 경우 경고 메시지가 표시됩니다. 이러한 패키지 설치를 수동으로 수락해야합니다. 공식 우분투 아카이브 또는 그 미러에서 온 패키지에 대해이 경고가 표시되면 패키지를 설치하지 말고 즉시 버그를보고해야합니다.

ISO의 경우 공식 Ubuntu 서버에있는 체크섬 해시를 확인해야합니다.

— 도비
소스

@ dobey : 정보 주셔서 감사합니다. Ubuntu 프로젝트가 업데이트 된 신뢰할 수있는 미러 목록을 제공하면 좋을 것입니다. 특히 저는 거주 국가의 미러가 Ubuntu 프로젝트에서 신뢰할 수있는 것으로 인증되었는지 확인하고 싶습니다.

— n00b

보안 / 안정성에 관심이 있다면 PPA를 추가하지 않아야합니다. 패키지에 서명되어 있지만 일반적으로 패키지에 대한 실제 보장은 없습니다.

— dobey

미러 서버가 패키지의 GPG 서명 및 체크섬을 확인하는지 여부를 모르겠습니다. 시스템에서 로컬로 실행되는 소프트웨어는 GPG 서명을 확인합니다.

— dobey

you should probably not install the package, and immediately report a bug about it. 나는 running을 apt-get update다시 시도하고 버그를보고하는 것이 더 나은 방법 이라고 생각합니다 . 경우에 따라 연결이 끊어 apt-get update지면 다시 업데이트하기 전에 패키지를 설치하려고 할 때도 동일한 경고가 표시됩니다.

— Dan

@ 그 당시 경고는 패키지 설치가 아닌 패키지 정보 업데이트 중입니다. 이것은 패키지 설치에 관한 것입니다.

— dobey