유해한 AUR 패키지를 인식하는 방법


11

아치 리눅스에서 yaourt를 통해 설치된 패키지가 내 PC에 해로울 수 있는지 어떻게 알 수 있습니까? 나는 위키에서 내가 당신의 모든 설치를 확인해야한다는 것을 읽었습니다. 하지만 정확히 무엇을 확인하고 악성 패키지를 어떻게 인식합니까?


AUR없이 공식 패키지를 사용해야합니다. 누구나 AUR에 업로드 할 수 있기 때문에 보장 할 수 없으며 등록 만하면됩니다. AUR 패키지의 의견과 투표를 확인하십시오. 아마도 좋은 출발점이 될 것입니다.
uzsolt

위키 지시 사항은 설치를 진행하기 전에 PKGBUILD를 읽는 것입니다 ...
jasonwryan

3
@uzsolt 그것은 어리석은 일입니다. AUR에는 많은 훌륭한 패키지가 있으며 그중 일부는 공식 저장소에서 옮겨졌습니다. 원칙적으로 AUR 패키지를 사용하는 것이 좋습니다. 중요한 것은 설치 대상을 이해 하는 것입니다.
jasonwryan

1
의심의 여지가 없지만 aur-foo패키지가 유해 하다는 것을 어떻게 알 수 있습니까 ? 일반적인 규칙이나 알고리즘이 있습니까? 나는 그렇지 않다고 생각합니다. 그리고 PKGBUILD를 읽는 것만으로는 충분하지 않습니다. 해로운 C 프로그램을 설치할 것이라고 생각하십시오. 설치하기 전에 전체 소스 코드를 읽습니까? 의견 (보고서, 경고에 대한)과 투표를 확인해야한다고 생각합니다 (많은 표가 있다면 그렇게 나쁘지 않은 것 같습니다). 많은 AUR 패키지를 사용하고 있으며 대부분이 좋다고 생각합니다. 그러나 ... 악마는 절대 잠들지 않습니다 :)
uzsolt

답변:


7

가상 머신을 사용하는 것과 같이 코드를 광범위하게 감사하지 않고 "외부에서"동작하는 것을 관찰하지 않으면 실제로 할 수는 없습니다. 악의적 인 패키지를 찾을 수있는 방탄 방법은 없으며, 비교적 쉽게 우회 할 수없는 자동화 된 방법은 없습니다. 당신이 현실적으로 할 수있는 일들 , 그중 어느 것도은 총알이 아닙니다 :

  • 패키지를 다운로드하여 압축을 풀고 ( 설치 하지 마십시오 !) 압축을 푼 파일에서 바이러스 검사를 실행하십시오. 이것은 잘 알려진 문제를 찾을 수 있지만 목표로 삼거나 해킹 된 해킹은 아닙니다.
  • 사용하기 전에 가상 머신에 설치하고 사용하지 말아야 할 파일을 만지거나 외부 서버와 통신하거나 자체적으로 데몬 프로세스를 시작하는 등 "의심스러운"작업을 수행하지 않는지 확인하십시오. 예를 들어 X 시간 동안 실행 한 후 시간과 같은 작업을 수행 할 수 있으며 코드를 자세히 검사하지 않으면 알 수있는 방법이 없습니다. 루트킷 탐지기는이 중 일부를 자동화 할 수 있습니다.
  • 제한된 환경에 설치하십시오. SELinux, chroot jails, 가상 머신, 분리 된 분리 된 머신 및 기타 많은 것들에는 평범한 악성 소프트웨어에서 활발한 악성 소프트웨어에 이르기까지 다양한 유형의 문제가있는 소프트웨어가 포함될 수 있습니다.
  • 신뢰할 수없는 컴퓨터에 대한 읽기 전용 액세스 권한이있는 별도의 서버에 중요한 (비밀이 아닌) 데이터를 배치 할 수 있습니다.
  • 비밀 데이터는 신뢰할 수없는 시스템에서 접근 할 수없는 시스템에 배치해야합니다. 모든 통신은 이동식 미디어를 통한 수동 사본이어야합니다.

마지막으로, 유일한 안전한 소프트웨어는 소프트웨어가 아닙니다. 신뢰할 수없는 소프트웨어를 설치해야합니까? 잘 알려진 신뢰할 수있는 대안이 없습니까?


글쎄, 방금 xflux와 sun JDK에 대한 위키 항목을 따랐습니다. AUR의 모든 항목에 대한 가이드입니까, 아니면 광범위한 wiki.archlinux 기사가있는 패키지를 신뢰할 수 있습니까?
lup3x

4
아무도 당신을 신뢰할 사람을 말할 수 없습니다. 누구를 신뢰할지 아무도 모른다. 당신이 할 수있는 일은 자신의 경험, 신뢰하는 사람들의 조언, 패키지의 인기 또는 당신이 충분하다고 판단하는 다른 휴리스틱에 근거하여 판단을 내리는 것입니다.
l0b0

감사합니다. 새 패키지를 설치할 때 명심하십시오
lup3x

2
@ l0b0의 조언을 신뢰할지 잘 모르겠습니다.
Sparhawk

1
@Sparhawk 좋은, 우리는 결국 인터넷에있어, 그리고 신뢰에 사람들은 개인적인 결정합니다.
l0b0

3

앞에서 언급했듯이 확실하지 않습니다.

개인적으로 사용하는 주요 휴리스틱 중 하나는 다음과 같습니다.

수동으로 설치하려고한다면 spotify.com에서 다운로드 할 것이므로이 책은 괜찮습니다. PKGBUILD의 나머지 부분을 간략히 살펴보면 분명히 특이한 일이없는 것 같습니다. 물론 은밀한 방법이 있지만 AUR의 악성 코드의 주요 대상은 소프트웨어를 설치하기 전에 일반적으로 PKGBUILD를 읽지 않고 명백한 경우에도 문제를 발견하지 못하는 yaourt 등을 사용하는 사람들이 될 것이라고 생각합니다. .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.