AUR 패키지 3개에서 악성코드 가 발견되어 제거되었으며 acroread, blaz(minergate예: PKGBUILD 세부정보 acroread). 이는 고아 AUR 패키지의 소유자를 변경하고 악의적인 명령을 포함하여 악의적인 사용자 curl가 게시한 커밋에서 발견 되었습니다.
이 curl명령은 기본 bash 스크립트를 다운로드 x한 다음 systemd 서비스를 생성하고 기능을 사용하여 일부 시스템 데이터(민감하지 않은 데이터)를 수집하는 두 번째 스크립트 u( u.sh)를 다운로드하지만 공격자는 이러한 스크립트를 수정하여 순차적으로 업로드할 수 있습니다.
실제로 어떤 이유로(일부 지식 필요, 더 많은 시간 필요 등) 모든 사용자가 시스템에서 패키지를 빌드하기 전에 PKGBUILD를 확인할 수 있는 것은 아닙니다. 작동 방식을 이해하기 위해 bash 스크립트 2개를 다운로드하고 업로드했습니다.이 과거 빈 페이지.
AUR 패키지에 악성 코드가 있는지 확인하는 가장 쉬운 방법은 무엇입니까?
답변1
경험이 부족한 사용자가 확인하기가 쉽지 않을 수 있다는 점이 포인트입니다.소스 코드. 그러나 자연스러운 반대로 보면 Arch Linux는 경험이 부족한 사용자에게 가장 적합한 Linux 배포판이 아니라고 말할 수도 있습니다.
Arch wiki, AUR 도우미 및 대부분의 온라인 포럼에서는 이러한 저장소/AUR의 위험성과 맹목적으로 신뢰할 수 없음에 대해 경고합니다. 일부 도우미는 설치하기 전에 PKGBUILD를 읽어야 한다고 경고합니다.
제안으로 항상 사용하는 것이 좋습니다.테리슨사용자에게 패키지/차이점 목록을 확인할 수 있는 기회를 제공하기 때문에 (문제/비활성화로 나열됨) aurman대신 또는 (또는 유사한 유틸리티)입니다. yaourt기여 내역을 보는 것은 패키지를 선택하거나 업데이트할 때에도 유용합니다.
일반 사용자는 대안으로 공식 바이너리 패키지가 있는 경우 이러한 저장소를 패키지의 기본 소스로 사용해서는 안 됩니다. AUR을 사용해야 한다면 Arch 포럼 및/또는 메일링 리스트에서 문제 보고서를 검색할 수 있습니다. 그러나 이것은 지나치게 낙관적인 견해이지만, Arch 커뮤니티는 여기의 경우처럼 정기적으로 패키지를 확인하는 것으로 보입니다.
다운로드한 소스 코드에서 알려진 악성 코드 서명을 검색해 볼 수도 있지만 maldetect사용자 정의 코드를 사용하여 무언가를 발견할 가능성은 0입니다. maldetect종종 PHP 코드에서 맬웨어를 잡는 데 더 적합합니다.
dhcpdPS 내 마지막 작업에서는 한동안 소스에서 컴파일된 패키지를 사용했고 , 수년 동안 소스에서 컴파일된 FreeRadius 패키지를 사용했습니다(데비안 버전이 오래되었기 때문입니다).
첫 번째 경우에는 github에서 다운로드한 소스코드를 여러 번 간략하게 확인했습니다. 두 번째 경우에는 FreeRadius 사용자 포럼, github 포럼 및 코드 업데이트를 적극적으로 따릅니다. 테스트/격리 환경도 있습니다. (테스트 환경에서 발견된 중요한 버그 보고서도 제출했습니다.)
당신이하고 있다면 요점을 얻으십시오.어느소스에서 패키지를 진지하게 설치하려면 일반적으로 배포판에서 제공하는 공식 컴파일 패키지보다 더 많은 작업이 필요합니다.
PS2. 일반적으로 숙련된 Unix 관리자 curl라면 어떤 형태의 시각적 검사 없이 직접 스크립트/소스 코드를 실행하는 것은 보안 관점에서 매우 나쁜 생각이라고 말할 것입니다 .