আমি কীভাবে নিশ্চিত করতে পারি যে আমার উবুন্টুতে বাইনারিগুলি উত্স কোড থেকে হওয়া উচিত?

25

99% ব্যবহারকারীর মতো আমি উবুন্টুকে রেডিমেড বাইনারিগুলি থেকে ইনস্টল করি।

আমি কীভাবে নিজেকে যাচাই করতে পারি যে উবুন্টুর মূল উত্স কোড থেকে এই বাইনারিগুলি আসলে?

এনএসএ / কেউ উবুন্টু বা লিনোড (আমার ভিপিএস সরবরাহকারী) এর সাথে বাইনারিগুলির সাথে ঝামেলা করার জন্য কোনও সহযোগিতা করেননি তা যাচাই করা ভাল। যদি আমরা বাইনারিগুলি যাচাই করতে পারি, তবে তারা প্রথমে এটি চেষ্টা করার সম্ভাবনাও কম থাকবে কারণ এগুলি সম্পর্কে তাদের কল করা সহজ হবে।

security 
mark1111
সূত্র
আপনি সোর্স কোডটি একবার দেখে নিতে পারেন, ব্যবহার apt-get sourceকরতে বা এটি আপনার নিজের তৈরি করতে ব্যবহার করতে পারেন। এই প্রশ্নটি দেখুন: Askubuntu.com
উইল্ফ
4
সম্ভবত কার্যকর: কীভাবে প্যাকেজ-ইনস্টল করা ফাইলগুলি মুল মুল যাচাই করবেন? (ডেবিয়ান, তবে উবুন্টুর জন্য প্রযোজ্য পর্যাপ্ত পরিমাণে হওয়া উচিত)
সিভিএন
@ মাইকেলKjörling আমি সেই প্রশ্নের আমাদের সংস্করণটি
খুঁজছিলাম
1
@ ব্রাইয়াম আমি মনে করি এই বিশেষ ক্ষেত্রে ডেবিয়ান / উবুন্টু খুব একটা তাত্পর্যপূর্ণ করে না। কি করে একটি পার্থক্য করতে প্রশ্ন লক্ষ্য হল; উপরের লিঙ্কযুক্ত একটিটির মূল লক্ষ্য হল ইনস্টলেশনের পরে কোনও সময়ে দূষিত ফাইলগুলি সনাক্ত করা, যেখানে এইটিকে দূষিতভাবে প্রতিস্থাপন করা বা পরিবর্তিত ফাইলগুলি সনাক্ত করা বা বাইনারি ফাইলগুলি বর্ণিত উত্স কোডের সাথে মেলে না detect বিভিন্ন সমস্যা, যে কারণে আমি লিঙ্কটি কেবল "সম্ভবত কার্যকর" হিসাবে ট্যাগ করেছি।
একটি সিভিএন
3
মজার বিষয় হচ্ছে, আমি মনে করি এমনকি জেন্টুও এই সমস্যাটিকে পুরোপুরি এড়িয়ে চলে: সেখানে, আপনাকে উত্স কোড সংরক্ষণাগার ডাউনলোড করা বিশ্বাস করতে হবে। আপনি চান সমস্ত ক্রিপ্টোগ্রাফিক স্বাক্ষর ব্যবহার করুন; আপনি যদি বিশ্বাস করতে না পারেন যে স্বাক্ষরিত সত্যটি সত্য এবং এটি যা হওয়ার পরিকল্পনা করা হয়েছিল, তবে সত্যিই কিছু করার দরকার নেই।
একটি সিভিএন

উত্তর:

36

আপনি সোর্সকোড ডাউনলোড করতে এবং এটি নিজেই সংকলন করতে পারেন। তবে অপেক্ষা করুন - প্রথমে আপনাকে সেই সোর্সকোডটি পরীক্ষা করতে হবে, কারণ যদি ক্যানোনিকাল এনএসএর সাথে সহযোগিতা করে তবে তারা সম্ভবত কোনও কোড প্রবেশ করিয়েছিল কোনও কীলগার বা দূরবর্তীভাবে সক্রিয় করা যেতে পারে এমন কোনও কিছুর জন্য।

তাই ...

  1. সোর্সকোড ডাউনলোড করার পরে,
  2. আপনাকে সমস্ত কোড পরীক্ষা করতে হবে,
  3. এবং তারপর এটি সংকলন!

তবে অপেক্ষা করুন - আপনি কি সংকলককে বিশ্বাস করতে পারেন ?

SPRBRN
সূত্র
15
"আপনি কি সংকলককে বিশ্বাস করতে পারেন?" আপনি যখন কোনও স্পর্শক বন্ধ হয়ে যান এবং স্ক্র্যাচ থেকে সি সংকলক কীভাবে সংকলন করবেন প্রশ্নটি পড়ুন , তারপরে স্ক্র্যাচ (এবং সম্পর্কিত উত্তরগুলি) থেকে ইউনিক্স / লিনাক্স সংকলন করুন
একটি সিভিএন
17
তবে আপনি কি আপনার হার্ডওয়্যারকে বিশ্বাস করতে পারবেন? সম্ভবত আপনার কম্পিউটারটিও স্ক্র্যাচ থেকে তৈরি করা উচিত, এবং এটিই আপনি কয়েকটি সমস্যা নিয়ে
টমাস
এবং আপনি কি হাইপাইভাইজারকে বিশ্বাস করতে পারেন যা আপনার ভিএম চালাচ্ছে?
ফার্নান্দো কোরিয়া
1
আমি মনে করি না যে বিভিন্ন লেখকের কাছ থেকে কয়েকটি অনুরূপ সংকলক উত্স সংকলন এবং পার্থক্যের জন্য আউটপুট চেক করার কোনও ব্যবহার হতে পারে। কিন্তু আপনি কীভাবে জানবেন যে লেখকরা প্রকৃতপক্ষে উপনামগুলির অধীনে একই সত্তা নয়? বা আরও সম্ভবত, যদি এই সমস্ত সংকলকের একটি সাধারণ দুর্নীতিবাজ পূর্বপুরুষ থাকে? এবং এর কোনওটিই যাইহোক হার্ডওয়্যার বিশ্বাসের সমস্যাগুলিতে সহায়তা করবে না।
আগ্রহী
6
তবে অপেক্ষা করুন - আপনি কি আস্থা রাখতে পারেন যে সম্ভাব্যভাবে আপস করা সমস্ত অঞ্চল আপনাকে এড়িয়ে যাওয়ার জন্য এনএসএ দ্বারা অ্যাসুবুন্টু ফিল্টার বা সম্পূর্ণ নিয়ন্ত্রিত হচ্ছে না?
TheZ
9

আপনি যদি "উবুন্টু তাই বলে" মেনে নিতে রাজি না হন তবে আপনি পারবেন না।

fkraiem
সূত্র
2
আমি যুক্ত করব যে আপনার নির্দিষ্ট সিস্টেমের বাইনারিগুলি চেকসামের সাথে তুলনা করে উবুন্টু-আসল বাইনারিগুলির সাথে মেলে কিনা তা যাচাই করতে আপনি [চেষ্টা করতে] পারেন। অবশ্যই, কোনও উপযুক্ত রুটকিট কোনও ক্ষেত্রেই সিস্টেমের মধ্যে থেকে সহজে সনাক্তযোগ্য হবে না।
পিটারিস
2
এটি কেবলমাত্র তখনই কাজ করে যদি আপনি বিশ্বাস করেন যে "আসল উবুন্টু বাইনারিগুলি" দিয়ে কোনও ছলনা হয়নি। অন্য কথায়, আপনি যদি স্বীকার করেন যে এগুলি ভাল কারণ উবুন্টু তাই বলে। ;)
fkraiem
5

উবুন্টু আপনার নিজস্ব মেশিনে একটি প্যাকেজ সংকলন করার জন্য সুবিধাজনক উপায় সরবরাহ করে। তবে, আপনি যে বাইনারি প্যাকেজ ডাউনলোড করেছেন তা নির্বাহযোগ্য সেই উত্স কোড থেকে প্রাপ্ত হয়েছে তা যাচাই করার কোনও উপায় নেই। উবুন্টু স্বাক্ষরিত প্রক্রিয়া প্যাকেজগুলির সাথে তৃতীয় পক্ষের হস্তক্ষেপের ঝুঁকি যথেষ্ট পরিমাণে হ্রাস করে, তবে আপনাকে এখনও বিশ্বাস করতে হবে যে ডাউনলোডের উত্স কোডে প্রতিফলিত না হওয়া সংকলনের আগে কোনও ক্ষতিকারক কোড যুক্ত করা হয়নি।

কারণটি হ'ল সংকলিত প্যাকেজগুলিতে যেমন একই বাইনারি রয়েছে ঠিক তেমনভাবে পাওয়া খুব শক্ত, কারণ এটি সঠিক সংকলক সংস্করণ, এর বিকল্পগুলির উপর নির্ভর করে এবং সম্ভবত বাইনারিটিতে সংকলিত কিছু পথ বা পরিবেশের পরিবর্তনগুলিও রয়েছে। সুতরাং নিজেকে সংকলন করার সময় আপনি একই বাইনারি সঠিকভাবে পেতে অক্ষম হবেন যা ডাউনলোড বাইনারিটি "যাচাই" করবে।

এই সমস্যাটির আশেপাশে একটি ছোট গবেষণা সম্প্রদায় রয়েছে - কীভাবে সংকলনকে পুনরুত্পাদনযোগ্য করা যায়।

এটি বলার পরে, একটি ডাউনলোড বাইনারি এবং একটি স্ব-সংকলিত কোনওটির একটি ম্যানুয়াল তুলনা যুক্ত / সংশোধিত কোড সনাক্ত করতে পারে, সুতরাং বাইনারিগুলি সরবরাহকারী কেউ এবং বাইনারিগুলিতে কিছু লুকানোর জন্য উত্স কোডটি ঝুঁকিপূর্ণ হবে, কারণ এটি সনাক্ত করা যায়।

তবে ইতিমধ্যে উল্লিখিত হিসাবে সংকলককে বিশ্বাস করার সমস্যাও রয়েছে ...

DCTLib
সূত্র
4

দুটি ভিন্ন মেশিনে ঠিক একই বাইনারি তৈরি করা একটি কঠিন সমস্যা। টিওআর প্রকল্পটি তাদের নির্মাণের নিয়মিত অংশ হিসাবে এটি করে। তারা এটি কী করে তা একটি বিবরণ রয়েছে দেবিয়ান এবং ফেদোরার মনে হয় যে প্রকল্পগুলি এই বিতরণগুলির জন্য এটি সম্ভব করে তোলে তবে তারা প্রাথমিক পর্যায়ে রয়েছে। এটা তোলে বলে মনে হচ্ছে না কোনো উবুন্টু মধ্যে সম্পন্ন কাজ মত

একটি উবুন্টু বাইনারি প্যাকেজ পুনরুত্পাদন করার জন্য আপনাকে যতটা সম্ভব নিবিড়ভাবে তৈরি করা পরিবেশটিকে পুনরুত্পাদন করতে হবে। এটি দিয়ে শুরু করতে, আপনাকে প্রথমে কোথায় এবং কীভাবে এই প্যাকেজগুলি সংকলিত হয়েছে তা সন্ধান করতে হবে। তথ্যটি সন্ধান করা সহজ বলে মনে হচ্ছে না।

জোসেফ
সূত্র
নির্দিষ্ট নির্দিষ্ট কি?
জোসেফ
আমাকে উপেক্ষা করুন, একটি ভিন্ন পোস্টের সাথে বিভ্রান্ত :)
টিম
0

উবুন্টুর এমডি 5 দিয়ে চেক করা হচ্ছে। আপনি যদি আপনার ফাইলগুলি থেকে এমডি 5 পেয়ে থাকেন তবে উবুন্টু প্রকাশিত কোনওটির সাথে মিলে যায় তবে কেউই বাইনারিগুলিকে অভ্যন্তরীণভাবে হস্তক্ষেপ করেনি।

YoMismo
সূত্র
এটি ওপির প্রশ্ন নয়। উবুন্টু কর্তৃক বিতরণ করা বাইনারিগুলির অনুরূপ না হয়ে উবুন্টু কর্তৃক বিতরণ করা উত্স কোডটি নিয়ে তিনি উদ্বিগ্ন। অন্য কথায়, তারা বলে যে "এটি উত্স," তবে তারা যে উত্স থেকে বাইনারি তৈরি করছে তা আসলে কিছু অতিরিক্ত এনএসএ-প্রবর্তিত কোড রয়েছে। তিনি উদ্বিগ্ন নন যে বাইনারিগুলি নির্মাণের পরে হস্তক্ষেপ করা হয়েছে।
জন ক্রিসোস্টম
ওপ পোস্ট করেছে: "আমি কীভাবে নিজেকে যাচাই করতে পারি যে এই বাইনারিগুলি উবুন্টুর মূল উত্স কোড থেকে এসেছে?" উত্তরটি এই প্রশ্নের জন্য। অন্যটি হাস্যকর, কে জানতে পারে লিনাক্স কার্নেলটি কারও (এনএসএ বা কে কখনও?) দ্বারা টেম্পার করা হয়নি, কোডটি ডাউনলোড করুন, পড়ুন এবং আপনি নিজে খুশি হয়ে গেলে এটি সঙ্কলন করতে পারেন। তা ছাড়া, আমার উত্তরটি এই মন্তব্যের শুরুতে আমি যে প্রশ্নের অনুলিপি করেছি তার উত্তর।
ইয়োমিসমো
আপনি যে প্রশ্নটি উদ্ধৃত করেছেন সেটির উত্তর আপনি দেননি। এমডি 5 ব্যবহার করে কেবল তার কম্পিউটারে বাইনারিগুলি সার্ভারের বাইনারিগুলির সাথে মেলে তা যাচাই করতে দেয়। তারা তাকে যাচাই করতে দেয় না যে তিনি ডাউনলোড করেছেন বাইনারিগুলি উবুন্টু সরবরাহকারী উত্স থেকে সংকলিত হয়েছিল। এখন, আমি সম্মত হই যে আপনি (এবং অন্যরা) যে কারণে বলেছেন তার কারণেই তাঁর প্রশ্নগুলি হাস্যকর। তবে সেটাই ছিল তাঁর প্রশ্ন।
জন ক্রিসটোম
0

এটি একটি কঠিন কাজ, আমি মনে করি এই জটিল কাজের চেয়ে বিশ্বাস এখানে ভাল। কিন্তু প্রশ্ন আপনি বিশ্বাস করতে পারেন?

যেহেতু ওপেন সোর্স সফ্টওয়্যার ব্যবহারকারীদের কোডে পরিবর্তন আনার জন্য অনেকগুলি স্বাধীনতা দেয়, আপনি কারও উপর নির্ভর করতে পারবেন না।

এই উদ্দেশ্যে একটি দৃশ্য তৈরি করা যাক, আমি আমার চেক করতে চাই Ubuntu == source code, অপেক্ষা করুন কেন আপনি তাদের উত্সের সাথে প্যাকেজগুলির তুলনা করার চেষ্টা করছেন না?

  1. উত্স থেকে উবুন্টুর জন্য একটি বাইনারি প্যাকেজ তৈরি করুন।
  2. বিতরণ দ্বারা প্রকাশিত সাথে স্ব-নির্মিত বাইনারি প্যাকেজটির তুলনা করুন।
  3. উত্সটি ডাউনলোড করতে অ্যাপট-গেট-বি উত্সটি ব্যবহার করুন।

তবে আমার জন্য ভাল তুলনা করার জন্য আপনাকে বিভিন্ন টাইমস্ট্যাম্প, পরিবেশের কারণে ছোটখাটো বিভিন্ন ফলাফল দেয় তবে এটি প্রমাণ করে যে এটি উত্স কোড থেকে নয়!

nux
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.