关于”linux的仓库镜像源会不会加入后门”的简要分析

我是一个大水怪

本帖最后由 我是一个大水怪 于 2019-8-5 16:48 编辑

有mjj询问这个问题，自己也曾经担心过这个问题，今天顺手Google了一下，做了点分析，有兴趣的大佬也可以指正一下。

获取这个问题的答案需要研究linux源的实现方式，自己简单看了一下debian源实现的安全策略，在https://wiki.debian.org/SecureApt，其它发现版应该也有类似的wiki页面。

debian现在的所有apt包都经过GPG签名的，也就是私钥加密、公钥解密，所有密钥环都是通过debian-archive-keyring包维护，文件位于/etc/apt/trusted.gpg.d目录下。可以通过sudo apt-key list查看内置密钥。

而debian-archive-keyring包是安装镜像自带的，允许升级更新，也允许用户通过sudo apt-key add手动安装（常见于一些软件的安装）。

假设这些密钥都是安全的，仓库镜像源无法通过修改包来实现置入后门。