问一个关于源的安全性的问题

[minoru_harvest]

潜水n年了，出来换气，顺便问一个一直没有想明白的问题。

论坛帖子里有n多非官方的源，从这些源里面更新系统安全么？要是官方没有什么对非官方源的验证措施，那么这些非官方源就有可能在更新中插入一些不安全的代码，这怎么办阿？

这里的“更新”主要是系统的更新管理器提示的那些重要更新，不是第三方软件的更新。
有人能解释下么？

[jandyzhu]

就像华军、天空那些下载站一样，你放心吗？

不放心的话就只用官方列表里的。

[minoru_harvest]

举例说明吧。
win的更新只有一个域名，那就是windows update的域名，至于这个域名定位到哪个数据中心，这个就不是咱管的了。假如没人劫持dns的话，通过这个域名，访问到的应该是ms的更新服务器，ms负责保证这个服务器上的内容的安全。

那么ubuntu呢？ubuntu的发行方是否有什么手段，来保证那些源上的重要系统更新和他发行的更新一致？

虽然依赖官方权威是win的遗毒，但更新系统这个问题上我觉得真的不那么放心。假如有的源修改了重要的系统更新的内容，那么从这个源更新安全么？ubuntu官方是否提供有验证手段？
我觉得这个验证应该不难阿，官方提供一个更新文件的验证码列表（md5、hash之类的）就可以。关键是有么？

[jxhow]

杞人忧天了吧

人家有心思去破坏linux用户

还不如去搞win用户 你想 update一下 那么多人中招 岂不是更爽

哪个SB没事了 费那么大劲 去折腾linux用户

[wangdu2002]

我以前好象看过一过贴子，Ubuntu总服务器对同步的镜像源有检查机制的。
不过世界哪有绝对安全呢，说不定某日，Ubuntu总服务器沦陷了也难说啊。
至于从官方源以外找软件，这完全是个人选择问题了，尝鲜和保险自己选吧。
虽说是开源的，但源里的数万个软件包，即使是专业程序员，最多也只能分析自已感兴趣的微不足道的代码而已。
终归，信任度还得由自已判定。信则用之，不信则弃之。

[minoru_harvest]

我以前好象看过一过贴子，Ubuntu总服务器对同步的镜像源有检查机制的。
不过世界哪有绝对安全呢，说不定某日，Ubuntu总服务器沦陷了也难说啊。
至于从官方源以外找软件，这完全是个人选择问题了，尝鲜和保险自己选吧。
虽说是开源的，但源里的数万个软件包，即使是专业程序员，最多也只能分析自已感兴趣的微不足道的代码而已。
终归，信任度还得由自已判定。信则用之，不信则弃之。

嗯，就是这个意思。完全不设防肯定是不行的，这年头linux已经不是什么用户禁区了，咱论坛这么多人就是明证么。
俗话说林子大了什么鸟都有，玩得转ubuntu的人肯定不是蹲在网吧玩劲舞拍空格的人，所以说万一有人有邪念，我觉得危害肯定比win下面一击致命阿。

[tenzu]

我看还是把网线拔了最安全

不用电脑一辈子不会有系统安全隐患。。。

更进一步，不出生就没有这么多烦恼了。。。

本人研究佛学和圣经去了，勿扰，谢谢

[jandyzhu]

我以前好象看过一过贴子，Ubuntu总服务器对同步的镜像源有检查机制的。
不过世界哪有绝对安全呢，说不定某日，Ubuntu总服务器沦陷了也难说啊。
至于从官方源以外找软件，这完全是个人选择问题了，尝鲜和保险自己选吧。
虽说是开源的，但源里的数万个软件包，即使是专业程序员，最多也只能分析自已感兴趣的微不足道的代码而已。
终归，信任度还得由自已判定。信则用之，不信则弃之。

嗯，就是这个意思。完全不设防肯定是不行的，这年头linux已经不是什么用户禁区了，咱论坛这么多人就是明证么。
俗话说林子大了什么鸟都有，玩得转ubuntu的人肯定不是蹲在网吧玩劲舞拍空格的人，所以说万一有人有邪念，我觉得危害肯定比win下面一击致命阿。

有那个技术的人一般不敢得罪千千万万个Linux用户的。