Una pregunta a los linuxeros: ¿Cómo se verifica la autenticidad de un paquete en un repositorio de apt?

La pregunta va más a si esos paquetes son “confiables” o si por el contrario hay que hacer una labor de chinos para verificar uno a uno que no lleven ningún código malicioso antes de instalar a choprecientas máquinas algún update (por poner un ejemplo).

Cada repositorio tiene una firma y todos los paquetes deben ir firmados. Apt verifica automáticamente todos los paquetes, si uno no está debidamente firmado lo notificará y solicitará aceptación expresa.

Ahora bien, ¿Cómo saber si un repositorio es fiable? Pues eso ya es de cada uno. Evidentemente si usas los oficiales no habrá problema, pero si comienzas a añadir PPA por ahí… Los ppa funciona con compilación a partir del código fuente que se sube, así que no pueden añadir nada que no esté en el source, por lo que es raro que metan código malicioso, pues se vería en el source.

3 Me gusta

Y si no va por APT, siempre puedes comprobar el checksum antes de instalar un paquete.

1 me gusta