Mon emplacement actuel est à des milliers de kilomètres du serveur principal d'Ubuntu et je suis obligé d'utiliser l'un de ses miroirs dans mon pays de domicile.
Les propriétaires d'Ubuntu mettent-ils en œuvre des mesures pour vérifier périodiquement leurs fichiers (par exemple, les ISO, les mises à jour, les correctifs de sécurité) sur leurs sites miroirs n'ont pas été falsifiés et / ou des logiciels malveillants / chevaux de Troie n'ont pas été introduits par des pirates?
Mon expérience personnelle avec l'installation et la mise à jour d'Ubuntu à partir du serveur principal a pris au moins deux heures alors que le même processus n'a pris que 10 à 15 minutes lorsque j'ai utilisé le site miroir Ubuntu disponible dans mon pays.
Réponses:
Les packages dans l'archive Ubuntu sont signés avec une clé GPG, ce que toute personne tentant de remplacer le code sur le miroir n'a pas nécessairement. Il serait possible de forger un package signé, mais ce n'est pas super trivial de le faire.
Vous pouvez généralement faire confiance aux packages signés avec ces clés GPG. Lors de la mise à jour via
update-managerouaptvous serez averti lorsque les packages ne sont pas signés avec une clé qui se trouve dans le trousseau de clés du package apt système. Vous devrez accepter manuellement l'installation de ces packages. Si vous voyez cet avertissement pour un paquet provenant des archives officielles d'Ubuntu, ou un miroir de celui-ci, vous ne devriez probablement pas installer le paquet et signaler immédiatement un bogue à ce sujet.Pour les ISO, vous devrez vérifier les hachages de somme de contrôle avec ce qui se trouve sur les serveurs Ubuntu officiels.
la source
you should probably not install the package, and immediately report a bug about it. Je pense que courirapt-get update, réessayer puis signaler un bug est une meilleure approche. Parfois, si la connexion est interrompue pendant un,apt-get updatevous obtiendrez le même avertissement si vous essayez d'installer un package avant de mettre à jour à nouveau.