LINUX.ORG.RU

Возможность подмены пакетов с зеркала

 ,


0

1

Добрый день. А вот качаю я пакеты,например с яндексовского зеркала, и они мне подменят файлик, libopenssl например, и будут мой трафик смотреть. Они (ФСБ) же там собирались трафик хранить. Вот может быть такое и какие у Линукса защиты от этого есть?

По https идешь на доверенный сайт и смотришь там md5 сумму для образа, если ты с яндекса скачал образ с другой чексуммой, то не доверяешь ему и выбрасываешь его.

sholom ()
Ответ на: комментарий от facelift

Да. Даже арч теперь так делает, хотя изначально его пакеты не проверялись, что являлось причиной недобродушных шуток.

Все пакеты в дистрибутиве подписаны ЭЦП майнтейнеров, которые, в свою очередь, подписаны ЭЦП репозитария.

Эта схема работает и в rpm и в deb, и если ты скачал дистрибутив из доверенного источника и проверил его хеши, то даже если ты качаешь пакеты с сомнительных зеркал, ты можешь быть уверен, что демократические правительства не подменили тебе эти пакеты.

Это не отменяет возможности внедрить что-то на этапе разработки, конечно, но это уже другая история.

Aceler ★★★★★ ()
Ответ на: комментарий от facelift

Если не доверяешь серверам яндекса(это твое личное дело) можешь их не использовать. Если будут замечены такие манипуляции, уверен сообщество откажется от использования этих серверов. В общем здесь работает принцип много глаз/рук.

LiBer ★★★ ()
Ответ на: комментарий от facelift

Ты так сам делаешь, ленивая жопа.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.