Debian 8は後ろからインターネットに接続できますか？ [閉鎖]

Question

これは正しい質問です。これはあなたがDebianユーザーのように考えていることを示しています。

A：はい、システムは自動的にネットワークに接続できます。これは、[a]システムに接続機能があり、[b]システムにジョブ自動化機能があるためです。しかし、いいえ、後ろからネットワークに接続されていません。（読者のための注意：接続済みそして入場ネットワークは2つの異なるです。質問は接続性について尋ねますが、もちろんアクセスも関連している可能性があります。システムが接続されると、iptables(8)システム管理者がアクセスを制限しない限り、システムのすべてのユーザーまたはエージェントはネットワークにアクセスできます。 )

おそらくこれを説明する簡単な方法はありませんが、あなたの質問は重要だと思います。私は少なくとも答えのポイントを明確にしようとします。

DEBIANパッケージとroot権限

ご存知のように、Debian 8 リリースには数万のパッケージが含まれています。これらのパッケージのいくつかは自己構成されています。設置時一部はroot権限を行使でき、一部はそうではありません。ただし、パッケージマネージャには、特定のパッケージがroot権限を行使するように設定するのを防ぐ機能はありません。

ルート権限がある場合、パッケージはネットワークインターフェイスの有効化と使用を含むすべての操作を実行できます。ほとんどのパッケージは自分自身とユーザーのルートアクセスを拒否するように構成されていますが、一部のパッケージにはルートアクセスが必要であり、パッケージマネージャはそれを許可します。

信頼できないソースからDEBパッケージソフトウェアを入手しましたが（ほとんど必要ありません）、ソフトウェアが悪意のあるものであることが判明した場合、Debianシステムはそれからユーザーを保護するように設計されていません。これがDebianシステムの一般的な使用がDebianでリリースされたソフトウェアのみをインストールする理由です。もちろん、自分が開発したソフトウェア（これは正常です）や信頼できるソフトウェアをインストールすることもできます（注意してください：このソフトウェアがDebianで正式にリリースされていない理由を尋ねてください）。

Debian システムは何も強制しません。人為的な制限は、後でルート権限を行使するためにインストール時に特定のパッケージが独自に構成されるのを防ぎます。一般的な例は、実行可能ファイルが/usr/sbin/exim4ファイルモードを持つメールサーバーExim4です。-rwsr-xr-xこれはs、実行可能ファイルがroot権限で実行されることを意味します。仮定して、誰かがDebian 8のExim4パッケージを疑うなら、インストールしないでしょう。しかし、人々が一般的にDebianを疑うなら、人々はDebian GNU / Linuxをまったく実行しないでしょう。そうですか？ Debian を信頼するのがなぜ意味があるのかについては、後で詳しく説明します。

公式のDebianプロジェクトに加えて、/var/log/毎晩午前2時にあなたのホームディレクトリとホームディレクトリの内容を私のホストに密かにアップロードし、この目的のために自動的にネットワークに接続する簡単なスパイプログラムを書いた場合、このパッケージを選択するとAPT がパッケージに正式な Debian 署名がないことを警告したにもかかわらず、セキュリティバリアはもう存在しません。文字通り、Debianシステムにはあなたを保護するものは何もありません。デジタル署名は防御線です。

したがって、これはより大きな質問を提起します。 Debian は、開発者が悪意のあるパッケージを準備、署名、アップロードするのをどのように防止しますか?

Debian 開発者

Debian で配布するすべてのパッケージは、評判の良い公式 Debian 開発者がデジタル署名してアップロードします。約1000人のDebian開発者がいます。いくつかの特別な場合を除いて、誰も匿名ではなく、すべてDebianプロジェクトによって個人的に満たされ検証されており、要件が満たされて収拾期間になるまで誰も許可されません。期間が終了しました。これは、GoogleとSteamがDebianの外部でサーバーを実行するのに十分です。それが十分に良いかどうかを判断するのはあなた次第です。 Debianの人事システムは20年以上働いていましたが、理論的に破ることは不可能ではありません。（実際には、私が外れていても、主要な国家情報機関がDebian開発者として忍耐強く組み込まれたエージェントを持っているかどうかは興味深い質問です！これはそのような例がないので推測にすぎませんが、主要な国家情報機関が諜報行為に該当する私が知っている限り、Debianにはこのリスクに対処するための効果的な手順はありませんでした。レポートを送信したユーザーが悪意のあるコードを検出すると、Debianプロジェクトはそのコードをエージェントとして追跡します。

代わりに、効率的で安全な作業方法がわかったら、Debianプロジェクトでそれを使用できます。

ネットワークインターフェースと自動アクセス

さて、私たちはあなたがDebian開発者チームを信頼していると仮定します。インターネットサービスの提供と実行を自動化することが目的のExim4などのパッケージをインストールする場合は、パッケージがアクティブになったときにネットワークインターフェイスを使用することを期待する必要があります。ただし、Exim4自体はネットワークインタフェースを有効にしません。

もちろん、ネットワークインターフェイスを有効化および無効化することが主な目的であるnetwork-managerソフトウェアパッケージもあります。ifupdown前者はグラフィカルデスクトップの使用に関連するネットワークインタフェースを自動的に有効にするので、network-managerそれについて懸念がある場合は削除できます。

ただし、Debianパッケージがある場合主な目的は別です。ネットワークインターフェイスを有効または無効にするのとは対照的に、インターフェイスを有効または無効にすることは聞いたことがありません。

Debian の考え方

上記のすべては、大多数のDebian開発者があなたと同じように考えていることを伝えることです。彼らもあなたと同じように、自分のシステムが自分も知らない間にネットワークに接続したくありません。実際、彼らはシステムがそれを望んでいないことがよくあります。アクティブなネットワーク接続に予期しないアクセスが発生しました。一方、Debian には多くのソフトウェアが用意されていますが、ほとんどは Debian 開発者以外のユーザーがアップストリームで作成し、特定のパッケージがより多くの情報を得るためにアップストリームサーバーに自動的にアクセスすることを禁止する公式の Debian ポリシーはありません。任意の適切な目的。（どのような適切な目的がありますか？たとえば、ユーザーがF1キーを押したときにオンライン文書Wikiにアクセスすることです。）

Debian 開発者は、秘密裏にユーザーを追跡するソフトウェアをパッケージ化しません。正式なポリシーはありませんが、Debian の誰も秘密裏にユーザーを追跡するのは良いことだとは思わないからです。

そしてDebianプロジェクトは営利を目的とする企業ではないので、これに関してDebianを毀損する動機はありません。

いくつかの例外

今、公に利用可能ないくつかのパッケージがあります。デザイン、自動化されたバックエンドへのアクセスとレポートのために宣伝されます（ただし、自動化されたバックエンドではありません）つながる）。これらのパッケージをインストールし、ネットワークインターフェイスが有効になると、自動機能がインストールされます。私が知っている最も重要な例はパッケージpopularity-contestですunattended-upgrades。/etc/apt/sources.list私のコンピュータのいずれかで行ったようにそれを削除すると、これらの更新は発生しません。

コメント

したがって、Debianは基本的にAndroidのようなシステムではありません。 Androidとは異なり、Debianは検閲されていないアプリケーションを制限および制御するようには設計されていません。 Debian はパッケージに署名する開発者の信頼に頼っています。 20年の経験から、信頼が正しいことがわかりますが、とにかくシステムはそのように動作します。

Answer 1

これは正しい質問です。これはあなたがDebianユーザーのように考えていることを示しています。

A：はい、システムは自動的にネットワークに接続できます。これは、[a]システムに接続機能があり、[b]システムにジョブ自動化機能があるためです。しかし、いいえ、後ろからネットワークに接続されていません。（読者のための注意：接続済みそして入場ネットワークは2つの異なるです。質問は接続性について尋ねますが、もちろんアクセスも関連している可能性があります。システムが接続されると、iptables(8)システム管理者がアクセスを制限しない限り、システムのすべてのユーザーまたはエージェントはネットワークにアクセスできます。 )

おそらくこれを説明する簡単な方法はありませんが、あなたの質問は重要だと思います。私は少なくとも答えのポイントを明確にしようとします。

DEBIANパッケージとroot権限

ご存知のように、Debian 8 リリースには数万のパッケージが含まれています。これらのパッケージのいくつかは自己構成されています。設置時一部はroot権限を行使でき、一部はそうではありません。ただし、パッケージマネージャには、特定のパッケージがroot権限を行使するように設定するのを防ぐ機能はありません。

ルート権限がある場合、パッケージはネットワークインターフェイスの有効化と使用を含むすべての操作を実行できます。ほとんどのパッケージは自分自身とユーザーのルートアクセスを拒否するように構成されていますが、一部のパッケージにはルートアクセスが必要であり、パッケージマネージャはそれを許可します。

信頼できないソースからDEBパッケージソフトウェアを入手しましたが（ほとんど必要ありません）、ソフトウェアが悪意のあるものであることが判明した場合、Debianシステムはそれからユーザーを保護するように設計されていません。これがDebianシステムの一般的な使用がDebianでリリースされたソフトウェアのみをインストールする理由です。もちろん、自分が開発したソフトウェア（これは正常です）や信頼できるソフトウェアをインストールすることもできます（注意してください：このソフトウェアがDebianで正式にリリースされていない理由を尋ねてください）。

Debian システムは何も強制しません。人為的な制限は、後でルート権限を行使するためにインストール時に特定のパッケージが独自に構成されるのを防ぎます。一般的な例は、実行可能ファイルが/usr/sbin/exim4ファイルモードを持つメールサーバーExim4です。-rwsr-xr-xこれはs、実行可能ファイルがroot権限で実行されることを意味します。仮定して、誰かがDebian 8のExim4パッケージを疑うなら、インストールしないでしょう。しかし、人々が一般的にDebianを疑うなら、人々はDebian GNU / Linuxをまったく実行しないでしょう。そうですか？ Debian を信頼するのがなぜ意味があるのかについては、後で詳しく説明します。

公式のDebianプロジェクトに加えて、/var/log/毎晩午前2時にあなたのホームディレクトリとホームディレクトリの内容を私のホストに密かにアップロードし、この目的のために自動的にネットワークに接続する簡単なスパイプログラムを書いた場合、このパッケージを選択するとAPT がパッケージに正式な Debian 署名がないことを警告したにもかかわらず、セキュリティバリアはもう存在しません。文字通り、Debianシステムにはあなたを保護するものは何もありません。デジタル署名は防御線です。

したがって、これはより大きな質問を提起します。 Debian は、開発者が悪意のあるパッケージを準備、署名、アップロードするのをどのように防止しますか?

Debian 開発者

Debian で配布するすべてのパッケージは、評判の良い公式 Debian 開発者がデジタル署名してアップロードします。約1000人のDebian開発者がいます。いくつかの特別な場合を除いて、誰も匿名ではなく、すべてDebianプロジェクトによって個人的に満たされ検証されており、要件が満たされて収拾期間になるまで誰も許可されません。期間が終了しました。これは、GoogleとSteamがDebianの外部でサーバーを実行するのに十分です。それが十分に良いかどうかを判断するのはあなた次第です。 Debianの人事システムは20年以上働いていましたが、理論的に破ることは不可能ではありません。（実際には、私が外れていても、主要な国家情報機関がDebian開発者として忍耐強く組み込まれたエージェントを持っているかどうかは興味深い質問です！これはそのような例がないので推測にすぎませんが、主要な国家情報機関が諜報行為に該当する私が知っている限り、Debianにはこのリスクに対処するための効果的な手順はありませんでした。レポートを送信したユーザーが悪意のあるコードを検出すると、Debianプロジェクトはそのコードをエージェントとして追跡します。

代わりに、効率的で安全な作業方法がわかったら、Debianプロジェクトでそれを使用できます。

ネットワークインターフェースと自動アクセス

さて、私たちはあなたがDebian開発者チームを信頼していると仮定します。インターネットサービスの提供と実行を自動化することが目的のExim4などのパッケージをインストールする場合は、パッケージがアクティブになったときにネットワークインターフェイスを使用することを期待する必要があります。ただし、Exim4自体はネットワークインタフェースを有効にしません。

もちろん、ネットワークインターフェイスを有効化および無効化することが主な目的であるnetwork-managerソフトウェアパッケージもあります。ifupdown前者はグラフィカルデスクトップの使用に関連するネットワークインタフェースを自動的に有効にするので、network-managerそれについて懸念がある場合は削除できます。

ただし、Debianパッケージがある場合主な目的は別です。ネットワークインターフェイスを有効または無効にするのとは対照的に、インターフェイスを有効または無効にすることは聞いたことがありません。

Debian の考え方

上記のすべては、大多数のDebian開発者があなたと同じように考えていることを伝えることです。彼らもあなたと同じように、自分のシステムが自分も知らない間にネットワークに接続したくありません。実際、彼らはシステムがそれを望んでいないことがよくあります。アクティブなネットワーク接続に予期しないアクセスが発生しました。一方、Debian には多くのソフトウェアが用意されていますが、ほとんどは Debian 開発者以外のユーザーがアップストリームで作成し、特定のパッケージがより多くの情報を得るためにアップストリームサーバーに自動的にアクセスすることを禁止する公式の Debian ポリシーはありません。任意の適切な目的。（どのような適切な目的がありますか？たとえば、ユーザーがF1キーを押したときにオンライン文書Wikiにアクセスすることです。）

Debian 開発者は、秘密裏にユーザーを追跡するソフトウェアをパッケージ化しません。正式なポリシーはありませんが、Debian の誰も秘密裏にユーザーを追跡するのは良いことだとは思わないからです。

そしてDebianプロジェクトは営利を目的とする企業ではないので、これに関してDebianを毀損する動機はありません。

いくつかの例外

今、公に利用可能ないくつかのパッケージがあります。デザイン、自動化されたバックエンドへのアクセスとレポートのために宣伝されます（ただし、自動化されたバックエンドではありません）つながる）。これらのパッケージをインストールし、ネットワークインターフェイスが有効になると、自動機能がインストールされます。私が知っている最も重要な例はパッケージpopularity-contestですunattended-upgrades。/etc/apt/sources.list私のコンピュータのいずれかで行ったようにそれを削除すると、これらの更新は発生しません。

コメント

したがって、Debianは基本的にAndroidのようなシステムではありません。 Androidとは異なり、Debianは検閲されていないアプリケーションを制限および制御するようには設計されていません。 Debian はパッケージに署名する開発者の信頼に頼っています。 20年の経験から、信頼が正しいことがわかりますが、とにかくシステムはそのように動作します。

Debian 8は後ろからインターネットに接続できますか？ [閉鎖]

ベストアンサー1

おすすめ記事