J'essaie de comprendre le do-release-upgrade
processus, c'est-à-dire la façon dont Ubuntu me demande de passer à la prochaine version d'Ubuntu au printemps ou à l'automne.
Après avoir lu les sources de, ubuntu-release-upgrader
j'ai trouvé le fichier / etc / update-manager / meta-release sur mon système. Ce fichier semble utiliser une URL HTTP pour pointer vers http://changelogs.ubuntu.com/meta-release où les différentes versions d'Ubuntu de Warty 04.10 à Raring 13.04 sont répertoriées. Ce fichier répertorie les versions, leur état de prise en charge, la date de sortie et contient un lien vers le Release
fichier.
Maintenant, le Release
fichier a une signature GPG correspondante et le sha1sum du Packages
fichier qui, à son tour, a le sha1sum des binaires DEB individuels qui sont installés. Les versions récentes ont également un script de mise à niveau et une signature GPG correspondante pour ceux-ci également. Tout sonne bien.
Ma question concerne le meta-release
fichier lui-même. Il n'est pas servi sur HTTPS et je ne trouve pas de signature GPG pour cela. Si quelqu'un remplace ce fichier, pourrait-il provoquer une mise à niveau de ma machine ...
- ... vers une version signée qui n'a pas encore subi de tests de sécurité?
- ... vers une ancienne version non prise en charge et présentant des failles de sécurité non corrigées?
UpgradeToolSignature
est toujours là, donc il ne sera mis à niveau qu'en utilisant un outil signé par Canonical (mais oui, cela n'atténue pas vos préoccupations).Réponses:
do-release-upgrade nécessite des droits d'administrateur, et si vous êtes sur une version LTS, restera dessus et ne vous enverra pas automatiquement une version. Si vous utilisez des sources non officielles, cela fait apparaître un tas de messages d'avertissement.
Cependant, pour l'utilisateur final, les variantes de l'interface utilisateur graphique ne sont pas différentes de l'UAC sous Windows, où quiconque n'est pas assez soucieux techniquement cliquera simplement sur le bouton ou tapera le mot de passe, ignorera les avertissements et partira pour faire une tasse de thé. Donc, en pratique, ce n'est ni plus ni moins sûr que Windows Update.
En bref - je ne ferais pas confiance à la mise à niveau pour être sécurisée. En fait, si vous utilisez un LTS et utilisez Ubuntu pour des tâches critiques, j'éviterais de mettre à niveau une version majeure jusqu'à ce que votre version ne soit plus prise en charge - la mise à niveau casse les choses de manière subtile, ce qui prend du temps à réparer.
la source
Seul l'administrateur peut provoquer des modifications permanentes des fichiers sur le PC. Les utilisateurs invités ne peuvent pas modifier ces fichiers (ou tout autre), donc personne d'autre que l'administrateur lui-même ne peut amener le gestionnaire de mise à jour à rechercher un lien potentiellement dangereux.
maintenant, l'administrateur n'endommagera pas son propre PC (sauf s'il est hors de son esprit) .Et il ne faut jamais laisser une tierce personne accéder aux droits d'administrateur.Il n'y a donc pratiquement aucun risque.
Donc, en bref, " quelqu'un " ne peut pas modifier ce fichier. Seul l'administrateur peut apporter des modifications aux fichiers.
Enfin, la newsletter hebdomadaire Ubuntu vous tient au courant des mises à jour / mises à niveau récentes.Vous pouvez le confirmer afin de garantir la sécurité de votre PC au mieux.
la source