マークシャトルワースは「私たちは根を持っている」とはどういう意味ですか?
ブログ投稿Amazonプライバシーの論争 に応じて、Mark Shuttleworthは次のように書いています。
私たちを信用しないの?えーと、ルートがあります。あなたはすでにあなたのデータで私たちを信頼しています。更新のたびにマシンを台無しにしないようにしてください。あなたはDebianを信頼し、オープンソースコミュニティの大部分を信頼しています。そして最も重要なことは、人間であると私たちが誤るとき、あなたは私たちがそれに対処することを信頼することです。
彼は「私たちは根を持っている」とはどういう意味ですか?確かに、CanonicalはUbuntuを実行しているすべてのマシンへのrootアクセス権を持っていませんか?
その文の表現は、ある意味で、すでにインストールされて使用されているバックドアとしてrootアクセス権を持っていることを意味するため、少し心配に思えるかもしれません。真実はマークからの悪い言葉遣いであり、彼が説明しようとしたことは、そうです、そうです、彼らはあなたのマシンへの潜在的なルートアクセスを持っているということです。一部のオープンソースプロジェクトから潜入する可能性のあるもの。
そのブログ投稿のコメントにも目を通すと、Markがあなたの質問に答えていることがわかります(コメント内のユーザー名は 'mark'です)
誰かが彼に尋ねました:
セバスチャンは言う:( http://www.markshuttleworth.com/archives/1182#comment-396204 )
2012年9月23日11:42 am
えーと。あなたは根を持っていますか?詳細をご覧ください。
そしてマークは答えた:
マークは言う:( http://www.markshuttleworth.com/archives/1182#comment-396225 )
2012年9月23日午後1時
@ Sebastian –すべてのパッケージアップデートはrootとしてインストールされます。
彼らはあなたのコンピュータを動かすソフトウェアを配布しているのであなたは彼らを信頼しています。彼らのプロセスはrootとして実行されます。あなたがコンピュータを手に持っているので、あなたはhaveを信頼して、あなたのコンピュータよりも信頼しています。あなたがマシンの管理者である間、あなたは管理者のタスクを実行するためにそれらのツールを使用します。
彼が主張している点は、ベンダーがOSを実行するコンピューターに関して無制限のパワーを持っているため、完全かつ完全に信頼できるベンダーによって配布されたOSしか実行できないということです。
この場合、彼は、Amazonの統合を通じてCanonicalがユーザーのプライバシーを侵害しているという叫びの不合理さを指摘しています。会社があなたのプライバシーを侵害したい場合、彼らははるかに微妙で不正な方法でそうすることができます。しかし、彼は大胆に、あなたはdoCanonicalを信頼しています。コンピュータでUbuntuを実行しているという事実が示すように、コンピュータでUbuntuを実行している場合は、最初からあります。したがって、すべてを正しく実行することを信頼している場合は、thisそうです。
それは完璧な薬ではありませんし、それがvalid引数であるかどうかさえわかりません。しかし、それは彼の主張です。
基本的に、すべてのdistoには独自のリポジトリサーバーがあります。これは、インストールされたシステムがパッケージを取得するデフォルトのオプションです。つまり、新しいパッケージをインストールしたり、更新をダウンロードしたりすると、これらのリポジトリからダウンロードされます。
あなた(私たち)は、リポジトリの管理者がアップロードするパッケージが悪意のないものであると信頼しています。ほとんどの公式リポジトリは、利用可能なパッケージのソースを提供しているので、理論的にはソースをダウンロードしてそれが何をするかを確認し、自分でコンパイルすることができます。しかし、誰もそれをしません。
少し前に、ほとんどのパッケージリポジトリがパッケージ署名機能を実装しました。各パッケージアップローダーには、パッケージにリポジトリにアップロードする前にパッケージに署名するための個人署名キーがあります。これにより、悪意のある攻撃者(リポジトリサーバーに侵入した攻撃者)が変更されたパッケージを提供できなくなります。アップローダーのアクションには影響しませんが、アップローダーが変更されたパッケージを提供したい場合には影響します。
ほとんどのdistosでのパッケージ管理の方法は、パッケージをシステム全体にインストールすることであり、ルート特権でインストールする必要があります。各パッケージには、正しいセットアップのためにインストールの前後に実行する必要があるフックがあり、これらもルート権限で実行されます。
したがって、理論的にはシステムを更新し、知らないうちに悪意のあるパッケージをダウンロードすることができます。
Shuttleworthが作ろうとしていた点は、Canonicalのように、私たちのシステムで悪意のある何かを実行したい場合、すでに方法があるということです。
Ubuntuのインストーラーとパッケージマネージャーはルートとして実行されます。オペレーティングシステムをインストールできる唯一の方法です。また、ルートとして実行されるプログラムもインストールします。他のLinuxディストリビューション(さらに言えば、他のオペレーティングシステム)も違いはありませんが、具体的な内容が少し変更される可能性があります。Ubuntuがこの議論の対象になっているだけです。 rootアカウントを持つことのポイントの一部は他の誰もこれらのことを実行できないようにするためですが、-somebodyが実行できる必要があるため、基本的にこれを回避する方法はありません。
このため、オペレーティングシステムのメーカーがバックドアに侵入するのは簡単なことです。実際には、これを回避する方法はありません。 Linux From Scratchを使用して自分でシステムを構築した場合、kind of closeを取得できますが、これにはシステムを自分で構築する必要があり、それに伴うすべてのものが必要です(実際、LFSメソッドではこれを2回実行する必要があります)。 。これは、ほとんどの人が行う時間、お金、専門知識を備えたものではなく、たとえそうしたとしても、この懸念に対処するための絶対的な方法ではありません。その結果、基本的にはオペレーティングシステムのメーカーを信頼するしかありません。
これの当然の結果は、オペレーティングシステムのメーカーが信頼できる人物であることを確認する必要があるということです。この部分は、シャトルワースの議論があまりうまくいかないところです。彼のスタンスは、人々の懸念に実際に対処したり、認識したりする試みではなく、対立する「とにかく私たちを信頼しなければならないので、これに対処する必要がある」とはるかに似ています。
実行するときはいつでもSudo apt-get upgradeダウンロードしています.deb Ubuntuリポジトリのパッケージを使用して、インストーラーをroot(ご存知のように、Sudo)で実行してインストールします。 Ubuntuがパッケージの1つを操作してバックドアを含めることを望んでいた場合、それらは可能であり、おそらくそれを知ることはないでしょう。
暗黙的に、これらのパッケージにバックドアを含めないようにUbuntuを信頼します。