Comment Ubuntu s'assure-t-elle que les paquets et les ISO provenant de miroirs sont sécurisés?
Mon emplacement actuel est à des milliers de kilomètres du serveur principal d'Ubuntu et je suis obligé d'utiliser l'un de ses miroirs dans mon pays de résidence.
Les propriétaires d’Ubuntu appliquent-ils des mesures pour vérifier périodiquement leurs fichiers (par exemple, ISO, mises à jour, correctifs de sécurité) sur leurs sites miroirs n’ont pas été falsifiés et/ou les logiciels malveillants/chevaux de Troie n’ont pas été introduits par des pirates?
Mon expérience personnelle d'installation et de mise à jour d'Ubuntu à partir du serveur principal a pris au moins deux heures, alors que le même processus ne prenait que 10 à 15 minutes lorsque j'ai utilisé le site miroir Ubuntu disponible dans mon pays.
Les paquets de l'archive Ubuntu sont signés avec une clé GPG, que toute personne tentant de remplacer le code sur le miroir ne possède pas nécessairement. Il serait possible de forger un paquet signé, mais ce n'est pas si simple de le faire.
Vous pouvez généralement faire confiance aux packages signés avec ces clés GPG. Lors de la mise à jour via update-manager ou apt, vous serez averti lorsque les packages ne sont pas signés avec une clé qui se trouve dans le trousseau de clés du système apt. Vous devrez accepter manuellement l'installation de tels packages. Si vous voyez cet avertissement pour un paquet provenant de l'archive officielle Ubuntu, ou l'un de ses miroirs, vous ne devriez probablement pas installer le paquet, et signaler immédiatement un bogue à ce sujet.
Pour les ISO, vous devrez vérifier le hash de la somme de contrôle avec ce qui se trouve sur les serveurs officiels Ubuntu.