私が知っているほとんどのディストリビューションには、インストール後に新しいパッケージをダウンロードできる一種のストレージ機能があります。安全な方法でこれを行うディストリビューションとそれ以外のディストリビューションは何ですか?
私は特に、中間者攻撃などの攻撃ベクトル、リポジトリメタサーバー、リポジトリファイルミラーのセキュリティ脆弱性などの問題について考えています。
SlackwareとArch Linuxはどちらもパッケージ署名がないため、非常に脆弱だと聞きました。これは本当ですか?他の主要なLinuxディストリビューションも単純な中間者攻撃に対して脆弱ですか?
ベストアンサー1
Debian パッケージはチェックサムが適用され、チェックサムは Debian キーリングのキーで署名されます。パッケージマネージャは、aptダウンロードしたパッケージに正しいチェックサムがあること、およびチェックサムファイルが正しく署名されていることを確認します。