警惕！ Ubuntu APT 源污染...

“由于有些用户喜欢使用 root 用户执行的 apt 命令，那么就导致恶意文件会以最高权限运行，导致服务器彻底沦陷。”，用 sudo 运行 apt 就不会了？

毛用没有。这个签名就是在本地弄的，根本不会验证邮箱。另外，一般人怎么可能去信任这种源。。。最后，不拿 root 运行 APT ？你倒是试试。。。

OpenPGP 标准本身就没有 CA 的概念，接受一个签名前需要自己通过可靠途径确认签名的真实性。

没什么意义，别老想搞个大新闻。
GPG Key 本来就不是验证邮箱的，那个邮箱只是个标记而已。
apt 验证 GPG Key 是验证 Key 的签名，并且 apt 只信任加入到信任区的 GPG Key。原文里用 apt-key 命令就是把 key 加入信任区了，你自己信任这个 key 发布的内容，apt 当然也不会报错，但是这并不代表直接劫持更新源就能随便向访问者安装软件（因为替换更新源使用的 GPG Key 是不可能被信任的）。

@gstqc 难道这文章里说的是让用户自己导入他私造的 gpg key ？我仔细看了，貌似他确实是通过官方的 keyserver 弄了一个。

另外，让用户导入 key 并不难，你安装过 Chrome 吧？安装时它就自动把 Google 的 key 导入到信任列表了。

唉，真不如 Fedora 的 metalink 那种分层级校验 hash 码的方式那样让人有安全感。

@wevsty 对的，这一步确实是不容易让用户中招。

添加 key 验证的不是邮箱地址而是 key 的指纹是否正确。添加了 apt key 指责 apt 不安全和乱装 ca 证书被中间人怪 https 不安全是一个道理啊。

@besto
@Shura
sudo 应该跟直接用 root 一样危险。基本上所有发行版的在线更新，都得用 root，否则没权限替换本地硬盘上的文件呀。

@Osk 嗯，所以得养成经常看看 apt-key finger 并上官网核对一下指纹的习惯。

@pq 你需要了解一下 gpg 的原理:http://www.ruanyifeng.com/blog/2013/07/gpg.html
"我仔细看了，貌似他确实是通过官方的 keyserver 弄了一个。 "你说的应该是这个吧？'sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys [证书公钥 ID]"
然而任何人都可以上传自己的公钥到公钥服务器上，而且公钥服务器的内容是同步的。

@pq 所以作者指责用户用 root 权限运行 apt，我很难理解。可能原文作者是 archlinux 重度患者吧。

@Shura 哦，明白了，原来是个公用服务器呀，我原来还以为只要这个服务器接受的 key 就会自动被全球 Ubuntu 用户信任呢。

逗呢 debian 的世界里不用 root 权限能不被 permission denied 的有几个？

@pq 还有就是，只看短 ID 也不保险： https://lwn.net/Articles/689792

“执行 sudo apt-get update，看是否更新正常，如果报错请导入证书文件，”
这文章标题太大，用 apt-key 导入，此时用户是先知的；如果说 APT source 被污染了后，通过其他手段检查才发现，用户是属于后知。

@pq #12 那这不就是类似 CA 的东西了……

举个例子，你要加一个仓库，比如是 nginx.org 的官方仓库
那应该到 https://nginx.org 确认签名的指纹是否正确，再信任这个签名
无脑按 Y 那谁都救不了

@Osk 呵呵，我都是直接看完整的指纹的。我对通过镜像在线更新一直没什么安全感，所以换到任何一种发行版时，都首先研究一下它的软件源保真机制，总结下来，Fedora 的 metalink hash 校验加上 rpm 本身的 gpg 签名校验双重保险，应该是最可靠的，而 deb 世界里，多数包连 gpg 签名都没有，只能靠 InRelease 的 gpg 签名校验加后续几层的 hash 校验来保障。

@xfspace 现在看来，这文章确实是哗众取宠博取关注，我没细看就转过来了，失误。。。。

这问题出现在密码分发阶段，GPG 采用的是公钥服务器方式，需要自己证实最开始的密钥的可靠性

@xfspace 看到这段笑死我了哈哈哈