기본 저장소에서 소프트웨어를 설치하는 것이 가장 안전한가요? ("yum install" "apt-get install" 등)

기본 저장소에서 소프트웨어를 설치하는 것이 가장 안전한가요? ("yum install" "apt-get install" 등)

저는 Windows 세계에서 왔기 때문에 Virustotal과 같은 도구를 통해 모든 새 EXE 또는 설치 파일을 넣거나 설치하기 전에 특정 섹션(맬웨어, 스파이웨어 없음 등)에 대한 보안 검토를 위해 Stack Exchange/Reddit을 검색하는 데 익숙합니다. 소프트웨어.

리눅스에서는 그렇죠?최대공급업체 이미지에서 OS를 새로 설치할 때 함께 제공되는 기본 저장소를 사용하는 한 모든 유틸리티나 소프트웨어를 설치하는 것이 완전히 안전합니까?

그렇지 않은 경우 특정 Linux 유틸리티/프로그램/응용 프로그램의 보안을 확인하는 일반적인 프로세스는 무엇입니까?

답변1

짧은 답변

예, 새로 설치된 운영 체제와 함께 제공되는 기본 저장소를 사용하는 한 모든 유틸리티나 소프트웨어를 설치하는 것은 "기본적으로 안전"합니다. 기본 저장소에는 Linux 배포판의 개발자 및/또는 유지관리자가 테스트한 소프트웨어가 포함되어 있습니다.

다양한 보안 수준이 있습니다. 우분투를 예로 들어 보겠습니다.

  • Canonical에서 일하는 Ubuntu 개발자/유지관리자는 중앙 패키지(리포지토리)에 기여합니다.기본등) 서버 에디션과 Ubuntu Desktop의 모든 에디션에 적용됩니다. 어떤 경우에는 이러한 프로그램을 개발하고 있지만 많은 경우 이러한 프로그램은 다른 사람/그룹(예: Debian)에 의해 "업스트림"으로 개발되고 패키지됩니다. 패키지 출처에 관계없이 모든 패키지는 기본적으로 Ubuntu 자체에서 제공하는 포괄적인 보안 지원의 이점을 누리고 있습니다.

  • 저장소의 소프트웨어 기능우주그리고다중우주테스트를 거쳤지만 소프트웨어는 다른 사람이나 그룹에 의해 개발 및 패키징되었으며 Ubuntu는 보안을 보장할 수 없습니다.

  • PPA의 소프트웨어는 Ubuntu 개발자 및/또는 유지관리자가 테스트하지 않았습니다. 품질과 보안은 개발자/유지관리자에게 달려 있습니다. (저는 PPA를 담당하고 있으며 다른 몇 가지 PPA를 사용하고 있지만 보안 위험 때문에 PPA를 멀리하는 사람들이 많다는 것을 알고 있습니다.)

위의 모든 소프트웨어는 자동으로 업데이트됩니다.

  • 일반적으로 Windows 응용 프로그램에서와 같이 별도로 다운로드되는 소프트웨어는 보안 수준이 낮습니다(예:최신인지 확인해야 합니다.)

  • 귀하가 직접 컴파일하거나 개발한 소프트웨어는 귀하의 기술과 소프트웨어가 처리하는 작업에 따라 안전할 수도 있고 안전하지 않을 수도 있습니다.

다음 링크는 Ubuntu 사례를 더 자세히 설명합니다.

일반적인 결론

비슷한 방식으로 다른 Linux 배포판에는 기능과 보안에 대해 어느 정도 테스트된 리포지토리가 있습니다. 더 많은 "주변" 소프트웨어를 설치하기 전에 해당 소프트웨어의 출처, 평판 및 유지 관리를 주의 깊게 확인해야 합니다.

설치하기 전에 가상 머신, 라이브 시스템 또는 두 번째 컴퓨터와 같은 별도의 "테스트" 시스템에서 소프트웨어를 테스트하는 것이 좋습니다.

답변2

모든 주요 GNU/Linux 배포판에는 Windows Update보다 더 나은 소프트웨어 패키지가 있습니다. Microsoft가 Windows 업데이트를 통해 바이러스를 공개하지 않을 것이라고 신뢰한다면 리셀러도 신뢰해야 합니다. 더욱이 대부분의 소프트웨어 패키지는 무료 소프트웨어이고 소스 코드는 대중에게 공개되기 때문에 더욱 그렇습니다.

Arch Linux와 같은 일부 배포판에는 별도의 "공식" 저장소와 "비공식" 사용자 생성 저장소(우레아 소변 비율)에는 배포자가 지원하는 공식 저장소의 패키지가 포함되어 있으며 AUR은 사용자에게 해당 패키지를 신뢰하지 말라고 경고합니다.

답변3

Unix, Linux, BSD 또는 기타 소프트웨어 배포판에서 "안전하다"는 생각은 모순입니다. 그 이유는 다른 사람의 데이터를 신뢰하기 때문입니다. 나는 큰 문제 없이 약 10년 이상 데비안을 사용해 왔지만 게시자의 통제나 지식을 벗어나는 문제가 있는 패키지가 몇 가지 있었습니다. 몇 년 전 일이라 패키지 이름은 기억나지 않지만 일부 기능은 기억납니다.

이는 Firefox가 n년 동안 플러그인을 지원하는 공격적인 릴리스 프로세스로 전환하기 전입니다. 이 소프트웨어 패키지 또는 플러그인은 웹 페이지/웹 사이트의 보안을 확인하는 데 사용됩니다. 우리 모두 알고 있듯이 사이트 인증서에는 많은 것들이 관련되어 있습니다. 인증서의 암호화 강도와 다양한 정보를 확인하여 웹사이트의 보안이 얼마나 좋은지 나쁜지 알아볼 수 있습니다. 비슷한 것https://github.com/andreicristianpetcu/Base64CertificateViewer/ATM을 사용하고 있어요. 유일한 차이점은 플러그인이 데이터(플러그인을 사용하는 사용자의 IP, 사용자가 이동하는 웹사이트 등)를 제3자에게 판매한다는 것입니다. 사람들은 그 일이 일어난 후 약 5~6년이 지나서야 그 사실을 알았습니다. 많은 드라마틱한 일이 있었고 결국 해당 부가 기능은 Firefox 스토어/부가 기능 페이지에서 제거되었으며, 외부 부가 기능이 인증서를 보고 표시할 수 있는 정도까지 많은 변경을 했습니다.

FWIW, 그것이 알려지자마자 데비안 저장소에서도 제거되었지만 피해가 발생했습니다. 나는 이 패키지를 데비안에 넣는 원래 요청자였습니다. 나는 데비안을 사용하는 많은 사람들이 약한 위치에 있고 일부는 강한 위치에 있다는 것을 알고 있습니다. 이러한 그룹 중 하나라도 저장소에서 이 플러그인을 사용하는 경우. 그들은 자신을 더욱 취약하게 만듭니다.

이제 이런 종류의 데이터 도난은 어떤 상점이나 누구도 예측할 수 없었을 것입니다. 비슷한 사건이 여러 지역에서 발생했습니다. 예를 들어 Freenode의 드라마,

사회적 역학에 있어서는 그 무엇도, 누구도 배제할 수 없습니다.

자유 소프트웨어는 사람들이 올바른 일을 하도록 하려고 노력합니다. 거의 모든 소프트웨어에는 하나 이상의 라이선스가 함께 제공되며 대부분의 소프트웨어는 특정 시점의 특정 요구 사항에 따라 작성됩니다. 대부분의 라이센스는 우리가 원하는 데이터 보호를 추가하기 위해 라이센스를 추가하고 수정해야 합니다. 좋은 소식은 대부분의 무료 소프트웨어 라이선스도 해킹 가능하기 때문에 해킹이 가능하다는 것이고, 나쁜 소식은 악의적인 사람이 있으면 어떻게든 라이선스를 무시할 수 있다는 것입니다.

답변4

일반적으로(절대적인 규칙은 아님) 소프트웨어는 배포를 유지 관리하는 개발자가 구축하고 모니터링하므로 배포 핵심 저장소에서 소프트웨어를 설치하는 것이 안전합니다.

거기할 수 있다문제는 원본 코드에서 직접 발생하고 릴리스 전에 발견되는 경우가 많지만 항상 코드를 확인하거나 코드 검토를 수행하는 것이 좋습니다.

이에 대한 주요 위험은 관리자가 새 저장소를 추가할 때 ppa 또는 yum 저장소에서 나올 때마다 책임이 릴리스에서 저장소 라이브러리를 추가하기로 결정한 특정 응용 프로그램의 개발자로 변경된다는 것입니다. 그러면 이 특정 애플리케이션의 코드 검토에 대한 초점이 줄어들 수 있으며 잠재적인 위험은 더 커질 수 있습니다. 리포지토리를 추가할 때 코드 검토의 품질에 주의해야 합니다.

마지막으로, 소스에서 소프트웨어를 다운로드하고 시스템에서 컴파일하여 소프트웨어를 추가하는 경우 더 위험한 가능성이 있습니다. 왜냐하면 코드 검토를 수행하는 것이 귀하의 책임이고 모든 사람이 그렇게 할 수 있는 능력이 있는 것은 아니기 때문입니다.

관련 정보