Ubuntu如何确保来自镜像的软件包和ISO安全？

我当前的位置距离Ubuntu主服务器数千公里，我必须在我的居住国使用其镜像之一。

Ubuntu的所有者是否采取措施定期检查其镜像站点上的文件（例如ISO，更新，安全补丁）是否未被篡改和/或黑客未引入恶意软件/特洛伊木马？

我个人在主服务器上安装和更新Ubuntu的经验至少花费了两个小时，而当我使用所在国家/地区的Ubuntu镜像站点时，相同的过程仅花费了10到15分钟。

mirrors

— n00b
source

@不赞成投票的人：请在简短的评论中解释为什么不赞成投票；如果有的话，我认为这个问题至少是为了表达合理的关注。如果您有理由相信不必担心这一点，请解释原因。谢谢。

— 关于natty的坚果，2013年

封闭投票人：这不是题外话。它可以从某些改进中受益-毕竟，世界上基本上没有什么是防黑客和防篡改的。但是问一个问题，Ubuntu项目采取了什么安全措施来监视其他人维护的镜像的安全性，这是一个很好的问题（总体而言，对于我们的网站而言，常见问题解答）。

— 伊利亚·卡根

我将其重命名为更笼统，应该解决问题中的要点。

— Jorge Castro

相关阅读内容：askubuntu.com/questions/56509/…– 2013

对于ISO，我认为您可以根据从父镜像获得的MD5对从镜像下载的ISO进行MD5哈希检查。由于它是相同的ISO，因此它应具有与父站点相同的MD5。

— Ahmadgeo

Ubuntu存档中的软件包使用GPG密钥签名，任何试图替换镜像上代码的人都不一定具有。可以伪造一个已签名的程序包，但是这样做并非不简单。

通常，您可以信任使用这些GPG密钥签名的软件包。当更新通过update-manager或apt时，如果未使用系统apt软件包密钥环中的密钥对软件包进行签名，则会警告您。您将必须手动接受此类软件包的安装。如果您看到来自官方Ubuntu归档文件或其镜像的软件包的警告，则可能不应该安装该软件包，并立即报告有关该错误的信息。

对于ISO，您将需要使用官方Ubuntu服务器上的校验和来验证校验和哈希。

— 多比
source

// @ dobey：谢谢你的信息。如果Ubuntu项目提供受信任的镜像的更新列表，那将是很好的；特别是，我希望了解我所在国家/地区的镜子是否已被Ubuntu项目认证为受信任。

— 2013年

如果您关心安全性/稳定性，则可能不应该添加PPA。它们中的软件包已签名，但通常没有真正的保证。

— 贝

我不知道镜像服务器是否验证软件包的GPG签名和校验和。但是，您系统上的本地运行软件确实会检查GPG签名。

— dobey 2013年

you should probably not install the package, and immediately report a bug about it。我认为运行apt-get update，再尝试然后报告错误是一种更好的方法。有时，如果在期间连接中断，apt-get update则在再次更新之前尝试安装软件包时也会收到相同的警告。

— 2013年

@Dan当时的警告是在软件包信息更新期间，而不是软件包安装期间。这是关于软件包的安装。

— dobey 2013年