Мы используем локальные зеркала репозитория Ubuntu, потому что наш внешний трафик платный. Всякий раз, когда я apt-get install "program" он берется из этого репозитория.
Вопрос в том ... могут ли сопровождающие репозитория заменить любой пакет в репозитории своим собственным?
Можно ли меня легко взломать на любом apt-get upgrade или apt-get install или apt-get dist-upgrade?
Мы получаем очень простые пакеты с локальных зеркал Ubuntu, таких как «telnet» или любой другой.
Нет.
Все пакеты и индексы (Packages.gz, Sources.gz, ...) должны быть подписаны с помощью ключа GPG. Также apt использует md5sum для проверки того, что он загрузил правильную копию индексного файла Packages.
Если кто-то заменяет или изменяет пакет, пакет больше не будет соответствовать знаку GPG.
Хотя существует множество механизмов для защиты репо, включая подписание пакетов и т. Д., Они настолько безопасны, насколько их делает сопровождающий. Плохо управляемое стороннее репо, которое взламывают или запускает злоумышленник, действительно может установить вредоносное программное обеспечение.
Репозитории APT Debian и Ubuntu имеют несколько уровней проверок, прежде чем пакет станет доступен для загрузки. Первоначальные загрузки пакетов разработчиками подписываются GPG вместе с включением нескольких контрольных сумм в отдельные файлы, составляющие загрузку пакета, которые затем проверяются как контрольные суммы, так и подпись GPG перед принятием. Затем у самого репозитория есть собственный ключ GPG, который используется для подписи файлов выпуска, в которых перечислены доступные пакеты в репозитории. Файлы выпуска для репозитория также включают данные контрольной суммы, которые затем проверяют различные утилиты установки на основе APT, а также подпись GPG в самих файлах выпуска.
Таким образом, от загрузки разработчиком, поддерживающим пакет, до загрузки и установки на ваш локальный компьютер, есть способ проверить, что ничего не было подделано или изменено.