警惕! Ubuntu APT 源污染...

2017-12-05 23:54:06 +08:00
 pq

https://paper.seebug.org/270/

你们觉得这篇文章说得靠谱么?我对其中关键的一环持有怀疑: 第三阶段里的

通过对 gpg 进行了解,发现 gpg 可以进行签名伪造,比如 ubuntu 官方的签名邮箱为 mirror@ubuntu.com ,那么我们也可以使用官方签名的邮箱重新进行申请,获得一个签名 key。

这个没太看懂,究竟是伪造一个官方邮箱去 keyserver 申请,还是在本地伪造?官方会有这么明显的漏洞?

9366 次点击
所在节点    Linux
50 条回复
pynix
2017-12-06 12:15:49 +08:00
大新闻。。。
tairan2006
2017-12-06 12:46:23 +08:00
sudo 和 root 的权限不是一样的么…
tywtyw2002
2017-12-06 12:59:07 +08:00
这文章建立在一个基础上,添加了伪造的 gpg-key。

但是为什么要去添加一个新的 gpg-key 呢?这算是属于钓鱼的范畴,跟漏洞有什么关系?完全是标题党。

基本上除了一个 n 年没有升级过系统的系统,基本上没有必要去添加官方的 gpg-key 的。
flyfishcn
2017-12-06 13:16:16 +08:00
@besto
@pq
@likuku
@UnknownR
@tairan2006
原文他的意思是你目前登录的用户,如果你用 root,apt 完之后,你运行 apt 下来的软件也是 root 权限。但是如果是 sudo apt,apt 完,你不加 sudo 直接运行的话,是普通用户的权限。
flyfishcn
2017-12-06 13:17:34 +08:00
@Shura 原文他的意思是你目前登录的用户,如果你用 root,apt 完之后,你运行 apt 下来的软件也是 root 权限。但是如果是 sudo apt,apt 完,你不加 sudo 直接运行的话,是普通用户的权限。
ThatIsFine
2017-12-06 14:33:18 +08:00
不加 sudo 能装的有几个?
ryd994
2017-12-06 16:35:51 +08:00
@tywtyw2002 密钥是一直滚动的。旧密钥停用前就会保证新密钥已经部署完成。
所以如果旧到连新密钥都不认了,那当前系统已经旧到没有升级的意义了,赶紧擦了重装吧。

@flyfishcn 我自己私用的服务器还真就是长期 root 登录的。反正禁了密码,不担心安全问题。执行命令前多看一遍,能救命。普通用户删了 home 其实和歇菜也没区别。

对外服务必须降权,最小暴露面原则。
jyf007
2017-12-07 10:15:57 +08:00
@Owenjia 对,所以我用的 gentoo 都直接通过 git-https 方式同步 github 的 portage 树,再重新编译 stage3
安全的重点变成了 app-misc/ca-certificates
cnfzv
2017-12-07 11:56:48 +08:00
@tywtyw2002 问个问题,有些时候更新包时提示需要导入 GPG key 是什么原因?
iwtbauh
2017-12-08 09:27:30 +08:00
@pq chrome 能导入 key 是因为你安装 chrome 时就是 root 啊,deb 里有安装后自动执行的脚本,这些脚本是 Google 事先写好的,这个脚本就把 Google 的 key 导入进去了呗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/412317

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX