মেটা-রিলিজ আপগ্রেড (কী-প্রকাশ-আপগ্রেড) নিরাপদ?


24

আমি do-release-upgradeপ্রক্রিয়াটি বোঝার চেষ্টা করছি যেভাবে উবুন্টু আমাকে পরবর্তী বসন্ত বা শরত্কালে উবুন্টু মুক্তির জন্য আপগ্রেড করার অনুরোধ জানায়।

উত্সগুলি পড়ার পরে ubuntu-release-upgraderআমি আমার সিস্টেমে / ইত্যাদি / আপডেট-ম্যানেজার / মেটা-রিলিজ ফাইলটি পেয়েছি। এই ফাইলটি HTTP ইউআরএল ব্যবহার করে প্রদর্শিত হয় http://itclogs.ubuntu.com/meta-re দয়া করে যেখানে ওয়ার্টি 04.10 থেকে বিরতি 13.04 পর্যন্ত বিভিন্ন উবুন্টু তালিকাভুক্ত রয়েছে lease এই ফাইলটি মুক্তির তালিকা, তাদের সমর্থনের স্থিতি, প্রকাশের তারিখ এবং Releaseফাইলটির একটি লিঙ্ক রয়েছে lists

এখন Releaseফাইলটির সাথে সম্পর্কিত জিপিজি স্বাক্ষর রয়েছে এবং Packagesফাইলটির শা 1 সুম রয়েছে যার পরিবর্তে, পৃথক ডিইবি বাইনারিগুলি ইনস্টল হওয়ার জন্য sha1sum থাকে। সাম্প্রতিক প্রকাশগুলিতে এগুলির জন্যও একটি আপগ্রেড স্ক্রিপ্ট এবং সংশ্লিষ্ট জিপিজি স্বাক্ষর রয়েছে। সব ভাল লাগছে।

আমার প্রশ্নটি meta-releaseফাইলটি সম্পর্কেই । এটি এইচটিটিপিএসের উপরে পরিবেশন করা হয় না এবং আমি এর জন্য কোনও জিপিজি স্বাক্ষর খুঁজে পাই না। যদি কেউ এই ফাইলটি প্রতিস্থাপন করে তবে তারা কি আমার মেশিনকে আপগ্রেড করতে পারে ...

  • ... একটি স্বাক্ষরিত রিলিজ যা এখনও সুরক্ষা পরীক্ষার মধ্য দিয়ে যায়নি?
  • ... একটি পুরানো রিলিজ যা সমর্থিত নয় এবং সুরক্ষিত সুরক্ষা দুর্বলতা রয়েছে?

1
খুব ভাল প্রশ্ন এবং ভাল লেখা। যদি এই সুরক্ষা ইস্যুটি নিশ্চিত করা যায় এবং বিকাশকারীদের অবহিত করা হয় তবে আমি মনে করি এটি স্থির না হওয়া পর্যন্ত এটি (অপ্রকাশিত) হওয়া উচিত। আমার প্রথম ধারণাটি হ'ল এটি মধ্য-মধ্য-আক্রমণের জন্য সত্যই দুর্বল বলে মনে হচ্ছে। যদিও কোনও ব্যবহারকারীকে এখনও আপগ্রেডটি নিশ্চিত করতে হবে।
জার্মটভিডিজক

এরই মধ্যে আমি আরও কিছু তথ্য সংগ্রহ করেছি এবং একবার তথ্য / পরীক্ষাগুলি সহ এটি সমর্থন করার জন্য সময় পেয়েছি আমি এটি উত্তর হিসাবে পোস্ট করব। মনে রাখবেন যে UpgradeToolSignatureএখনও আছে, তাই এটি কেবল ক্যানোনিকাল স্বাক্ষরিত একটি সরঞ্জাম ব্যবহার করে আপগ্রেড করবে (তবে হ্যাঁ, এটি আপনার উদ্বেগ প্রশমিত করে না)।
gertvdijk

আমি একটি পুরানো সংস্করণে ডাউনগ্রেডকে জোর করার চেষ্টা করেছি তবে আপগ্রেড স্ক্রিপ্টটি বলেছে যে রেডিং থেকে হার্ডিতে কীভাবে আপগ্রেড করতে হয় তা এটি জানে না। ওভাররাইড ছাড়া এপটি ডাউনগ্রেড হয় না। দেখে মনে হচ্ছে এটি সবচেয়ে খারাপ আপনি যা করতে পারেন তা আপনার শিকারকে তারা যেমন নতুন উন্নয়ন বা অ-এলটিএস চান তার চেয়ে আরও নতুন রিলিজে আপগ্রেড করতে অনুরোধ জানায়।
jwal

আমি অন্য পদ্ধতির সম্পর্কে চিন্তা ছিল। ইঙ্গিত: কোনও ইনপুট স্যানিটাইজিং নেই। আমি সম্ভবত সপ্তাহান্তে কিছু সময় খুঁজে পেতে হবে। :)
gertvdijk

1
আমি উবুন্টু রেপুর একের সাথে আপোস করা এবং প্যাকেজগুলি প্রতিস্থাপনের সাথে ট্রোজানাইজডগুলির সাথে প্রতিস্থাপিত হওয়ার সাথে আরও উদ্বিগ্ন হব যা মেটা ফাইলে সংজ্ঞায়িত একই সাথে স্বাক্ষরিত হয়েছে।
জাস্টিন অ্যান্ড্রুস্ক

উত্তর:


2

ডু-রিলিজ-আপগ্রেডের জন্য অ্যাডমিনের অধিকারের প্রয়োজন হয় এবং আপনি যদি এলটিএস রিলিজে থাকেন তবে সেটিতেই থাকবে এবং স্বয়ংক্রিয়ভাবে আপনাকে কোনও সংস্করণ গুছিয়ে দেবে না। আপনি যদি বেসরকারী উত্স ব্যবহার করেন এটি সতর্কতা বার্তার একটি গোছা নিয়ে আসে।

তবে, এর মধ্যে জিইউআই রূপগুলি হ'ল, শেষ ব্যবহারকারীর কাছে, উইন্ডোজটিতে ইউএসি-র চেয়ে আলাদা নয়, যেখানে কেউ প্রযুক্তিগত দিক থেকে যথেষ্ট মনোযোগী নয় কেবলমাত্র বোতামটি ক্লিক করুন বা পাসওয়ার্ডটি টাইপ করবেন, সতর্কতাগুলি উপেক্ষা করবেন এবং এক কাপ চা বানিয়ে চলে যাবেন। সুতরাং অনুশীলনে, এটি উইন্ডোজ আপডেটের চেয়ে কম বা বেশি সুরক্ষিত নয়।

সংক্ষেপে - আমি আপগ্রেডটিকে সুরক্ষিত রাখতে বিশ্বাস করব না। প্রকৃতপক্ষে, আপনি যদি এলটিএসে থাকেন এবং মিশন সমালোচনামূলক জিনিসগুলির জন্য উবুন্টু ব্যবহার করেন, তবে আপনার মুক্তি আর সমর্থন না করা অবধি আমি একটি বড় সংস্করণ আপগ্রেড করা এড়াতে চাই - আপগ্রেড করা সূক্ষ্ম উপায়ে স্টাফকে ভেঙে ফেলবে যা আপনাকে ঠিক করতে সময় নেয়।


আমার প্রশ্নটি আসলে নেটওয়ার্কটিতে হ্যাকার সম্পর্কে - মাঝখানে লোকের মতো - আপগ্রেড চালিত স্থানীয় মেশিনের চেয়ে। আমি ইতিমধ্যে জানি যে স্থানীয় মেশিনে আপগ্রেড চালানোর জন্য আপনাকে মূল হতে হবে।
jwal

0
  • কেবলমাত্র অ্যাডমিন পিসিতে থাকা ফাইলগুলিতে স্থায়ী পরিবর্তন আনতে পারে। অতিথি ব্যবহারকারীরা এই (বা অন্য কোনও) ফাইলগুলি পরিবর্তন করতে পারবেন না the অ্যাডমিন ব্যতীত অন্য কেউ নিজেরাই আপডেট-ম্যানেজারকে কিছুটা সম্ভাব্য ক্ষতিকারক লিঙ্কটি সন্ধান করতে পারে না।

  • এখন, অ্যাডমিন তার নিজের পিসির ক্ষতি করবে না (যদি না সে তার মনের বাইরে থাকে)। আর কাউকেই কোনও তৃতীয় ব্যক্তিকে অ্যাডমিন রাইটস অ্যাক্সেস করতে দেওয়া উচিত নয়। সুতরাং বাস্তবে কোনও ঝুঁকি নেই।

  • হতে পারে দূষিত অ্যাপ্লিকেশনগুলি পারে, তবে আপনি যদি বিশ্বস্ত রেপো ব্যবহার করেন তবে এই ঝুঁকিটি غالب হবে না।
  • @Gertvdijk যেমন বলেছে, ব্যবহারকারীকে এখনও আপগ্রেডগুলি নিশ্চিত করতে হবে
  • এবং পরিশেষে আপনি সর্বদা মূল লিঙ্কটি পুনরুদ্ধার করতে পারেন।

সুতরাং সংক্ষেপে " কেউ " এই ফাইলটি পরিবর্তন করতে পারে না ly কেবল অ্যাডমিন ফাইলগুলিতে পরিবর্তন করতে পারে।

এই প্রক্রিয়াটি অবশ্যই আরও সুরক্ষিত হতে পারে y মায়াব সফ্টওয়্যার আপডেটার এই ফাইলগুলি এনক্রিপ্ট করতে পারে এবং একটি জিপিজি কী ব্যবহার করতে পারে

অবশেষে উবুন্টু সাপ্তাহিক নিউজলেটার আপনাকে সাম্প্রতিক আপডেটগুলি / আপগ্রেডগুলির সাথে আপডেট রাখে ou আপনি এটি থেকে নিশ্চিত করতে পারেন যাতে আপনি আপনার পিসির সুরক্ষা সেরাকে নিশ্চিত করতে পারেন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.