Comment reconnaître les packages AUR nuisibles

11

Comment puis-je savoir si un paquet installé via yaourt sur arch linux pourrait être dangereux pour mon PC? J'ai lu dans le wiki que je devrais vérifier chaque installation que je fais avec le vôtre. Mais que dois-je vérifier exactement et comment reconnaître les packages malveillants?

arch-linux security yaourt lup3x
la source
Vous devez utiliser des packages officiels sans AUR. Il n'y a aucune garantie car n'importe qui peut télécharger n'importe quoi sur AUR, seulement une inscription est nécessaire. Vérifiez les commentaires et les votes des packages AUR, c'est peut-être un bon point de départ.
uzsolt
L'instruction wiki est de lire le PKGBUILD avant de procéder à l'installation ...
jasonwryan
3
@uzsolt C'est un peu ridicule: il y a beaucoup de superbes packages dans l'AUR, dont certains ont été déplacés des dépôts officiels. L'utilisation de packages AUR, en principe, est très bien; ce qui est important, c'est de comprendre ce que vous installez.
jasonwryan
1
C'est sans doute, mais comment peut-on savoir que ce aur-foopaquet est nuisible ou non. Existe-t-il une règle générale ou un algorithme? Je pense que non. Et la lecture de PKGBUILD ne suffit pas - pensez à installer un programme C nuisible. Lisez-vous le code source complet avant l'installation? Je pense que devrait vérifier les commentaires (sur les rapports, les avertissements) et les votes (s'il y a plusieurs votes, cela ne semble pas si mal). J'utilise de nombreux packages AUR et je pense que la plupart d'entre eux sont bons. Mais ... le diable ne dort jamais :)
uzsolt

Réponses:

7

Vous ne pouvez pas, pas vraiment, sans faire un audit approfondi du code et l'observer en action "de l'extérieur", par exemple en utilisant une machine virtuelle. Il n'existe aucun moyen à toute épreuve de trouver des paquets malveillants, et certainement aucun moyen automatisé qui ne pourrait être contourné assez facilement. Certaines choses que vous pouvez faire de manière réaliste , dont aucune n'est une balle d'argent:

  • Téléchargez le package, décompressez-le ( ne l' installez pas!) Et exécutez une vérification antivirus sur les fichiers décompressés. Cela peut trouver des problèmes bien connus, mais pas des hacks ciblés ou personnalisés.
  • Avant de l'utiliser, installez-le sur une machine virtuelle et vérifiez qu'il ne fait rien de "suspect", comme toucher des fichiers qu'il ne devrait pas, communiquer avec des serveurs externes, démarrer des processus démon par lui-même, etc. Bien sûr, cela pourrait être de faire des choses comme ça sur une base temporelle, par exemple après avoir couru pendant X heures, et il n'y a aucun moyen que vous sachiez sans une inspection détaillée du code. Les détecteurs Rootkit peuvent automatiser une partie de cela.
  • Installez dans un environnement restreint. SELinux, les prisons chroot, les machines virtuelles, les machines distinctes déconnectées et bien d'autres choses peuvent contenir différents types de logiciels problématiques, du simple mauvais au activement malveillant.
  • Des données précieuses (mais non secrètes) peuvent être placées sur des serveurs distincts avec un accès en lecture seule à la machine non approuvée.
  • Les données secrètes doivent être placées sur une machine inaccessible à partir de la machine non approuvée. Toute communication doit être une copie manuelle via un support amovible.

Enfin, le seul logiciel sécurisé n'est pas un logiciel. Êtes-vous sûr de devoir installer un logiciel auquel vous ne faites pas confiance? N'y a-t-il pas d'alternative connue et fiable?

l0b0
la source
Eh bien, je viens de suivre les entrées wiki pour xflux et le soleil JDK. Votre guide est-il pour chaque entrée de l'AUR ou puis-je faire confiance aux packages qui ont un article wiki.archlinux complet?
lup3x
4
Personne ne peut vous dire à qui faire confiance. Personne ne sait à qui faire confiance. Tout ce que vous pouvez faire est d'émettre un jugement sur la base de votre propre expérience, des conseils des personnes de confiance, de la popularité du package ou de toute autre heuristique que vous jugez suffisante.
l0b0
Merci, je garderai cela à l'esprit lors de l'installation de nouveaux packages
lup3x
2
Je ne sais pas si je dois faire confiance aux conseils de @ l0b0.
Sparhawk
1
@Sparhawk Bien, nous sommes sur Internet après tout, et à qui faire confiance doit être une décision personnelle.
l0b0
3

Comme mentionné précédemment, vous ne pouvez pas savoir avec certitude.

L'une des principales heuristiques que j'utilise personnellement est:

Si j'allais essayer de l'installer manuellement, je le téléchargerais de toute façon sur spotify.com, donc ça va dans mes livres. Une brève lecture du reste du PKGBUILD et il ne semble pas y avoir quoi que ce soit d'inhabituel. Bien sûr, il existe des moyens d'être sournois, mais je pense que la principale cible de tout code malveillant sur AUR serait les personnes utilisant yaourt, etc. .

kellpossible
la source