5 sposobów bezpiecznego pobierania oprogramowania w systemie Linux

Powszechnym błędem jest przekonanie, że w systemie Linux nie ma wirusów. Fakt jest taki: one istnieją. Mimo że możesz przeszukać pliki programu w celu znalezienia zainfekowanego pliku, może minąć kilka miesięcy, zanim zorientujesz się, że system Linux został naruszony.

Zaufanie to delikatna sprawa i nie należy go tak łatwo zdradzać. Tylko dlatego, że coś zostało udostępnione w Internecie, nie oznacza, że ​​możesz temu zaufać. Musisz podjąć pewne kroki, aby zabezpieczyć swój system operacyjny i siebie.

Zagrożenia bezpieczeństwa wynikające z zaniedbania obejmują kradzież informacji i wirusy, a także dostęp nieautoryzowanego użytkownika do komputera z systemem Linux. Dlatego w tym artykule wymieniono bezpieczne sposoby pobierania oprogramowania w systemie Linux.

1. Sprawdź wartość skrótu

Wartość skrótu (lub suma kontrolna) to alfanumeryczny ciąg znaków wytwarzany, gdy niektóre dane są przesyłane przez funkcję kryptograficzną. Działa jak podpis cyfrowy w pliku.

Aby upewnić się, że nie pobrałeś uszkodzonego pliku, wiele witryn o otwartym kodzie źródłowym zwykle dostarcza oczekiwany skrót, który powinieneś uzyskać po zakończeniu pobierania pliku. Weźmy przykład.

Załóżmy, że pobierasz Tomcat 10, który jest popularnym serwerem internetowym. Wartość skrótu dla Tomcat w wersji 10.0.6 to:

3d39b086b6fec86e354aa4837b1b55e6c16bfd5ec985a82a5dd71f928e3fab5370b2964a

5a1098cfe05ca63d031f198773b18b1f8c7c6cdee6c90aa0644fb2f2 * apache-tomcat-10.0.6.tar.gz

Sekcja * apache-tomcat-10.0.6.tar.gz to tylko nazwa pliku. Wartości od 3d39... 2f2 składają się na wartość skrótu.

Aby uzyskać tę wartość, musisz przejść do katalogu, w którym pobrałeś plik archiwum i uruchomić następującą komendę:

sha512sum apache-tomcat-10.0.6.tar.gz

Powinieneś otrzymać wspomnianą powyżej wartość skrótu. Jeśli otrzymasz inną wartość, oznacza to, że pobieranie zostało uszkodzone i musisz je natychmiast usunąć.

W tym konkretnym przykładzie funkcja haszująca, której użyliśmy, to sha512. Dzieje się tak, ponieważ jest to funkcja, którą fundacja Apache Tomcat postanowiła wykorzystać do ochrony integralności swoich pobrań.

Inne witryny mogą używać różnych funkcji haszowania, takich jak popularne funkcje sha256 i sha384.

W przypadku, gdy witryna korzysta z innych funkcji haszowania, wszystko, co musisz zrobić, to zastąpić nazwę polecenia funkcją haszującą.

sha256sum nazwa_pliku-pobrania
sha384sum nazwa-pliku-pobrania

Warto również zauważyć, że użyty przez nas plik ma rozszerzenie SMOŁA plik (czyli plik archiwum). Ale co, jeśli zamiast tego pobrałeś plik binarny? Dobrą wiadomością jest to, że w systemie Linux uzyskasz ten sam wynik mieszania niezależnie od typu pliku.

Domyślnym trybem funkcji skrótu w systemie Linux jest tekst. Dlatego, aby przejść do trybu binarnego, użyj rozszerzenia -b opcja w następujący sposób:

sha256sum -b nazwa_pliku

2. Używaj bezpiecznych witryn

Pobieranie plików z bezpiecznych witryn znacznie zmniejsza ryzyko uzyskania złośliwego oprogramowania. Zasadniczo należy zawsze korzystać z oficjalnej witryny pobierania oprogramowania, które chcesz pobrać. Jeśli z jakiegoś powodu nie możesz znaleźć oficjalnej strony internetowej, rozważ skorzystanie z zaufanej witryny.

Pobieranie witryn, takich jak FileHorse i SourceForge to przykłady zaufanych witryn, które możesz odwiedzić. Te strony istnieją od dawna i zdobyły zaufanie swoich użytkowników.

3. Skompiluj samodzielnie kod źródłowy

Jednym z największych powodów istnienia społeczności open source jest to, że nie musisz ufać dużym firmom programistycznym i mieć nadzieję, że nie robią one niczego nieautoryzowanego na Twoim komputerze.

Pobierając pliki binarne, dajesz trochę mocy temu, kto skompilował kod. Ale jeśli masz dostęp do kodu źródłowego, możesz odzyskać władzę w swoje ręce.

Dzięki oprogramowaniu typu open source możesz niezależnie sprawdzić, czy oprogramowanie robi dokładnie to, co mówi jego autor. Jedyną wadą jest to, że musisz mieć ponadprzeciętne umiejętności programistyczne. Będziesz także musiał dobrze się nauczyć w danym obszarze tematycznym.

Możesz także zdecydować się na strategię i sprawdzać tylko kluczowe pliki, które Cię interesują.

Jako przykład załóżmy, że masz kod źródłowy C. sklonowany z repozytorium GitHub. Poniżej opisano, jak możesz to samodzielnie skompilować.

Uruchom poniższe polecenie, aby zainstalować build-essential pakiet. Pakiet zawiera ważne narzędzia, które są niezbędne przy tworzeniu oprogramowania w systemie Linux.

sudo apt-get install build-essential

Teraz skompiluj kod C za pomocą kompilatora gcc.

gcc nazwa-programu.c -o nazwa-programu

Po kompilacji możesz uruchomić program wpisując:

./Nazwa programu

4. Skorzystaj z oficjalnego menedżera pakietów

Najłatwiejszym sposobem zainstalowania, zaktualizowania i odinstalowania oprogramowania jest użycie menedżera pakietów. Jest ich kilka, takich jak pacman, dpkg, DNF i APT. Menedżerowie pakietów współpracują bezpośrednio z oficjalnymi repozytoriami oprogramowania i sklepami z aplikacjami.

Menedżerowie paczek wykonują dla Ciebie wiele ciężkich zadań. Obsługują standardowe operacje, takie jak zarządzanie zależnościami, których potrzebuje oprogramowanie, zapewnianie integralności i autentyczności pobierania oraz zarządzanie wersjami.

Kolejną dobrą rzeczą jest to, że twoja dystrybucja zwykle jest dostarczana z preinstalowanym menedżerem pakietów. Na przykład, Debian 10 jest dostarczany z systemami opartymi na APT i Arch z pacmanem.

5. Badania osobiste

Świat oprogramowania to ciągle zmieniające się miejsce, a nadążanie za trendami w zakresie bezpieczeństwa jest kluczowym aspektem zapewniania sobie bezpieczeństwa. Istnieje kilka opcji instalacji do wyboru w różnych scenariuszach. Na przykład instalowanie oprogramowania na maszynie wirtualnej lub korzystanie z konteneryzacji aplikacji.

Konteneryzacja aplikacji jest szczególnie ekscytującym trendem, ponieważ zapewnia, że ​​aplikacje działają w ten sam sposób w różnych środowiskach wykonawczych.

Możliwość odizolowania wykonywania rdzenia oprogramowania i zależności od podstawowej infrastruktury zapewnia bezprecedensowe bezpieczeństwo. Na przykład wystarczy tylko raz się martwić o weryfikację bezpieczeństwa swoich zależności, a następnie oczekiwać, że będzie to rezonować w różnych środowiskach.

Dobrą praktyką jest również przeglądanie recenzji oprogramowania i śledzenie dyskusji w serwisie GitHub. Recenzje oprogramowania dają dobry obraz tego, czego można się spodziewać po pobraniu, nieoczekiwanego zachowania, które użytkownicy mogli zaobserwować, oraz ich zaleceń.

Dyskusje GitHub mogą również uświadomić Ci, jakie proaktywne środki należy podjąć po / w trakcie instalacji oprogramowania. Możesz również uzyskać wiele innych uwag dotyczących bezpieczeństwa, które nie są uwzględnione w oficjalnej dokumentacji.

Powinieneś także zwrócić uwagę na rozwidlenia z wieloma współtwórcami na GitHub. Mogą mieć miejsce zmiany protokołów, a niemożność dotrzymania kroku tym aktualizacjom zagrozi Twojemu bezpieczeństwu.

Zalecenia i dobre praktyki

Zawsze dobrze jest zaktualizować pakiety systemu i listę repozytoriów przed pobraniem jakiegokolwiek większego oprogramowania. Każdy menedżer pakietów, pacman w Arch Linux na przykład oferuje opcję instalowania, aktualizowania i usuwania pakietów.

Po upewnieniu się, że zainstalowane pakiety są aktualne, możesz przejść dalej i pobrać potrzebne oprogramowanie. Jeśli to możliwe, jeśli możesz pobrać pakiet za pomocą menedżera pakietów, zrób to. To najłatwiejszy i najbezpieczniejszy sposób instalowania i aktualizowania oprogramowania w systemie Linux.

Jak zaktualizować jedną lub wszystkie aplikacje w systemie Linux w kilka sekund

Regularne aktualizacje aplikacji są ważne dla każdego systemu Linux. Oto, jak możesz łatwo zaktualizować jedną aplikację lub wszystkie aplikacje w systemie Linux.

Czytaj dalej

O autorze