web-dev-qa-db-ja.com

非公式リポジトリからのLinuxマルウェアの既知のインシデントはありますか?

多くの場合、非公式のLinuxソフトウェアリポジトリ(メディアコーデック、ワイヤレスカードドライバーなど)を使用する必要があるため、それらを信頼するかどうかを決定する必要があります。

私が使用することを検討しているさらに別のリポジトリについて調べるのにどれだけの時間を費やすべきかを考えています。悪意のあるLinuxリポジトリがポップアップするのはどのくらい一般的ですか?それが起こったことはありますか?

3
Greendrake

通常、侵害されるのはミラーです。したがって、元のリポジトリは悪意のあるものではありませんが、それがホストされているミラーはそうです。

そのため、パッケージマネージャーを使用してダウンロードし、gpg署名チェックを行うのが最善です。手動でダウンロードする場合は、チェックサムを確認することもできます。

Gpgまたはチェックサムチェックを使用すると、ミラーの侵害から安全です。最も危険なことは、チェックせずにミラーからダウンロードすることです。

1
Aria