在安装各种程序时,系统会要求我下载一些运行所需的软件包。其中一些是众所周知的应用程序,其中的自述文件是值得信赖的,而其他一些鲜为人知的程序是我想我需要小心的地方。
所以,我正在尝试安装一个名为 Tennis Elbow 的游戏,自述文件中说:
在 Ubuntu 14.10 64 位上,据报道以下指令有效:
sudo apt-get install libcurl3:i386 sudo apt-get install libvorbisfile3:i386
那么,我们怎么知道我下载的文件是否安全呢?
我知道这似乎不止一个问题,但我基本上需要这款游戏才能运行,所以我只需要知道安装提到的软件包是否安全。
是否可以使用 apt-get 安装恶意程序?当然可以,但这需要您的计算机列出的存储库中存在恶意软件。这可能发生:
如果您添加了恶意存储库,它可以提供恶意包。例如,PPA 可能包含恶意代码。他们还可以提供任何包裹(他们可以提供
ubuntu-minimal可以感染所有人的替代品。但不仅仅是 PPA。主要存储库中的软件可能会被感染,要么是因为 Ubuntu 维护者被黑客入侵或不满,要么是因为 Debian 上游维护者被黑客入侵或不满,或者是原始开发人员被黑客入侵或不满,而不良代码未被捕获。
有人以某种方式设法拦截了您的网络流量,并且还以某种方式设法在不更改包校验和的情况下对包的清单进行签名或更改二进制包。
除非您一直在添加随机密钥,否则两者都不太可能,但即便如此,如果至少部分不在现场也很难做到。这是一个非常复杂的黑客攻击。
但它可能在这里吗?它是否告诉您安装恶意软件?
不,它只是要求您安装这些库的 32 位版本,因为它使用它们但是是针对它们的 32 位版本编译的。
但它们是什么?
libcurl3用于在应用程序中下载内容,并libvorbisfile3用于解码Vorbis编码的音频。:i386包名末尾的表示。它正在指定架构。在 Ubuntu 的例子中,我们i386通常指的是 32 位,它实际上是用 i686 处理器指令编译的。如果您对任何事情都疑神疑鬼,那么从随机网站下载并运行封闭源二进制文件才是真正的危险。