有mjj询问这个问题,自己也曾经担心过这个问题,今天顺手Google了一下,做了点分析,有兴趣的大佬也可以指正一下。
获取这个问题的答案需要研究linux源的实现方式,自己简单看了一下debian源实现的安全策略,在https://wiki.debian.org/SecureApt,其它发现版应该也有类似的wiki页面。
debian现在的所有apt包都经过GPG签名的,也就是私钥加密、公钥解密,所有密钥环都是通过debian-archive-keyring包维护,文件位于/etc/apt/trusted.gpg.d目录下。可以通过sudo apt-key list查看内置密钥。
而debian-archive-keyring包是安装镜像自带的,允许升级更新,也允许用户通过sudo apt-key add手动安装(常见于一些软件的安装)。
假设这些密钥的私钥都是安全的,仓库镜像源无法通过修改包来实现置入后门。
未经允许不得转载:美国VPS_搬瓦工CN2 GIA VPS » 关于”linux的仓库镜像源会不会加入后门”的简要分析