Sublime을 설치하려면 apt-get이 찾을 수 있도록 GPG 키와 source.list 항목을 추가해야 했습니다. 다른 여러 프로젝트에서도 동일한 요청을 했습니다. source.list에 더 많은 도메인을 추가해도 보안 위험이 발생하지 않는 이유는 무엇입니까?
즉, 패킷 A가 호스트 B에서 와야 한다고 가정합니다. 새 source.list에 호스트 C를 추가했습니다. 호스트 C가 손상되었으며 공격자는 악성 코드 패키지를 호스팅하고 이를 A라고 부릅니다. 다음에 A를 업데이트하려고 할 때 apt-get이 소스를 확인하고 B 대신 C에서 다운로드하기로 결정했고 악성 버전을 얻었습니다.
답변1
답변:이것은.
어떤 배포판/OS를 사용하든 추가 패키지 소스를 가져오는 데에는 항상 위험이 있습니다. 이론적으로 GPG 키를 사용하면 위험을 줄이는 데 도움이 됩니다. 이론적으로 누군가는 다음을 수행해야 하기 때문입니다.
- 바이너리를 제공하는 서버에 액세스
- 바이너리 서명에 사용되는 GPG 개인 키에 액세스하세요.
- 감염된 바이너리의 새 버전을 패키징하고 서명한 후 서버에 배치합니다.
이 경우 누군가는 사악한 일을 하기 위해 여러 단계를 거쳐야 합니다. 안전에 있어서는 항상 그렇습니다. 레이어에 관한 모든 것입니다! 공동체가 번영하고 다른 사람의 어깨 위에 서기 위해서는 기꺼이 고립을 포기하고 자신의 힘을 다해 노력해야 합니다.믿다그중에서도.
파일을 제공하는 서버는 이전에도 다양한 수준으로 손상되었지만 일반적으로 즉시 발견되어 짧은 시간 내에 해결될 수 있다는 점을 명심하세요.
이전 공격
- Fedora 웹사이트가 해킹당했지만 서버는 손상되지 않았습니다!
- Arch Linux 사용자 저장소에서 악성 소프트웨어 패키지 발견
- Arch Linux AUR 패키지 저장소에서 악성코드 발견
팁
- 항상 URL을 다시 확인하고 합법적인지 확인하세요.
- 패키지가 꼭 필요한 경우가 아니면 리포지토리를 추가하지 마세요.
- 정기적으로 매체 목록을 검토하세요.
- 사이트에서 패키지 서명에 사용하는 GPG 키를 정기적으로 검토하세요.
- 패키지를 최신 상태로 유지하기 위해 부지런히 노력하십시오.