Возможность подмены пакетов с зеркала

0

1

Добрый день. А вот качаю я пакеты,например с яндексовского зеркала, и они мне подменят файлик, libopenssl например, и будут мой трафик смотреть. Они (ФСБ) же там собирались трафик хранить. Вот может быть такое и какие у Линукса защиты от этого есть?

Ссылка

←	Параметр загрузки toram для openSUSE

Переопределение цветов для различных утилит

→

По https идешь на доверенный сайт и смотришь там md5 сумму для образа, если ты с яндекса скачал образ с другой чексуммой, то не доверяешь ему и выбрасываешь его.

sholom ★
(02.11.16 15:18:12 MSK)

Ответ на: комментарий от sholom 02.11.16 15:18:12 MSK

А дебиан, например, так делает?

facelift ★
(02.11.16 15:19:00 MSK) автор топика

Цифровая подпись.

Vovanano ★
(02.11.16 15:19:17 MSK)

Ссылка

Ответ на: комментарий от facelift 02.11.16 15:19:00 MSK

Да. Даже арч теперь так делает, хотя изначально его пакеты не проверялись, что являлось причиной недобродушных шуток.

Все пакеты в дистрибутиве подписаны ЭЦП майнтейнеров, которые, в свою очередь, подписаны ЭЦП репозитария.

Эта схема работает и в rpm и в deb, и если ты скачал дистрибутив из доверенного источника и проверил его хеши, то даже если ты качаешь пакеты с сомнительных зеркал, ты можешь быть уверен, что демократические правительства не подменили тебе эти пакеты.

Это не отменяет возможности внедрить что-то на этапе разработки, конечно, но это уже другая история.

Aceler ★★★★★
(02.11.16 15:24:35 MSK)

Ссылка

Ответ на: комментарий от facelift 02.11.16 15:19:00 MSK

Если не доверяешь серверам яндекса(это твое личное дело) можешь их не использовать. Если будут замечены такие манипуляции, уверен сообщество откажется от использования этих серверов. В общем здесь работает принцип много глаз/рук.

LiBer ★★★
(02.11.16 15:24:42 MSK)