메타 릴리스 업그레이드 (출시 업그레이드)는 안전합니까?

나는 do-release-upgrade우분투가 다음 봄 또는 가을 우분투 릴리스로 업그레이드하도록 프롬프트하는 방식 을 이해하려고합니다 .

소스를 읽은 후 시스템 ubuntu-release-upgrader에서 / etc / update-manager / meta-release 파일을 찾았습니다 . 이 파일은 HTTP URL을 사용하여 http://changelogs.ubuntu.com/meta-release 를 가리키며 Warty 04.10에서 Raring 13.04까지 다양한 Ubuntu 릴리스가 나열되어 있습니다. 이 파일에는 릴리스, 지원 상태, 릴리스 날짜 및 Release파일에 대한 링크가 있습니다.

이제 Release파일에는 해당 GPG 서명과 Packages파일 의 sha1sum이 있으며, 이 파일에는 개별 DEB 바이너리의 sha1sum이 설치됩니다. 최신 릴리스에는 업그레이드 스크립트와 이에 대한 해당 GPG 서명도 있습니다. 모두 잘 들립니다.

내 질문은 meta-release파일 자체 에 관한 것입니다. HTTPS를 통해 제공되지 않으며 GPG 서명을 찾을 수 없습니다. 누군가이 파일을 교체하면 어떻게 든 내 컴퓨터가 업그레이드 될 수 있습니다 ...

• ... 보안 테스트를 거치지 않은 서명 된 릴리스로?
• ... 지원되지 않고 보안 취약점이 수정되지 않은 이전 릴리스까지?

do-release-upgrade에는 관리자 권한이 필요하며 LTS 릴리스를 사용중인 경우 해당 버전을 유지하고 자동으로 버전을 올리지 않습니다. 비공식 소스를 사용하면 많은 경고 메시지가 나타납니다.

그러나 이것에 대한 GUI 변형은 최종 사용자에게는 Windows의 UAC와 다르지 않습니다. 기술적으로 마음에 들지 않는 사람은 버튼을 클릭하거나 암호를 입력하고 경고를 무시하고 차를 마시기 위해 나가는 것입니다. 실제로 실제로 Windows Update보다 안전하지 않습니다.

요컨대-업그레이드가 안전하다고 믿지 않습니다. 실제로 LTS를 사용 중이고 미션 크리티컬 한 용도로 Ubuntu를 사용하는 경우 릴리스가 더 이상 지원되지 않을 때까지 메이저 버전을 업그레이드하지 않는 것이 좋습니다.

• 관리자 만 pc의 파일을 영구적으로 변경할 수 있습니다. 게스트 사용자는이 (또는 다른) 파일을 변경할 수 없으므로 관리자 자신 외에는 업데이트 관리자가 잠재적으로 유해한 링크를 찾도록 할 수 없습니다.

• 이제 관리자는 자신의 PC가 손상되지 않는 한 자신의 PC를 손상시키지 않습니다.

• 악의적 인 앱일 수도 있지만 신뢰할 수있는 저장소를 사용하는 경우에는이 위험이 우선하지 않습니다.
• @gertvdijk가 말했듯이 사용자는 여전히 업그레이드를 확인해야합니다.
• 마지막으로 항상 원본 링크를 복원 할 수 있습니다.

간단히 말해 " somebody "는이 파일을 변경할 수 없습니다. 관리자 만 파일을 변경할 수 있습니다.

이 프로세스는 확실히 더 안전 할 수 있습니다. 소프트웨어 업데이터가 이러한 파일을 암호화하고 gpg 키를 사용할 수도 있습니다.

마지막으로 Ubuntu 주간 뉴스 레터를 통해 최신 업데이트 / 업그레이드로 업데이트 할 수 있습니다.이를 통해 PC 보안을 최대한 보장 할 수 있습니다.