ক্ষতিকারক এআর প্যাকেজগুলি কীভাবে চিনবেন

11

আর্চ লিনাক্সটিতে ইয়োরোর্টের মাধ্যমে ইনস্টল করা একটি প্যাকেজটি আমার পিসির জন্য ক্ষতিকারক হতে পারে তবে আমি কীভাবে চিনতে পারি? আমি উইকিতে পড়েছি যে আমি আপনার টিটি দিয়ে তৈরি প্রতিটি ইনস্টলেশন পরীক্ষা করব। তবে আমার ঠিক কী পরীক্ষা করতে হবে এবং কীভাবে আমি দূষিত প্যাকেজগুলি চিনতে পারি?

arch-linux  security  yaourt 
lup3x
সূত্র
আপনার এআর ছাড়াই অফিসিয়াল প্যাকেজগুলি ব্যবহার করা উচিত। গ্যারান্টি নেই কারণ যে কেউ এআর-তে কিছু আপলোড করতে পারে, কেবলমাত্র একটি নিবন্ধকরণ প্রয়োজন। এআর-প্যাকেজগুলির মন্তব্য এবং ভোটগুলি পরীক্ষা করুন সম্ভবত এটি একটি ভাল সূচনার পয়েন্ট।
উজসোল্ট
উইকির নির্দেশনাটি হ'ল ইনস্টলটি চালিয়ে যাওয়ার আগে পিকেজিবিআইএলডি পড়তে হবে ...
জেসনওয়ারিয়ান
3
@ উজসল্ট এটি অদ্ভুতভাবে হাস্যকর: এআর-তে প্রচুর দুর্দান্ত প্যাকেজ রয়েছে, যার কয়েকটি সরকারী রেপো থেকে সরানো হয়েছে। নীতিগতভাবে এআর প্যাকেজ ব্যবহার করা ভাল fine আপনি কী ইনস্টল করছেন তা বোঝা গুরুত্বপূর্ণ ।
জেসনওয়ারিয়ান
1
এটি নিঃসন্দেহে তবে কীভাবে কেউ জানতে পারবেন যে aur-fooপ্যাকেজটি ক্ষতিকারক কিনা। একটি সাধারণ নিয়ম বা অ্যালগরিদম আছে কি? আমি মনে করি, না। এবং পিকেজিবিআইএলডি পড়া যথেষ্ট নয় - মনে করুন একটি ক্ষতিকারক সি-প্রোগ্রাম ইনস্টল করবে। আপনি কি ইনস্টলের আগে পুরো উত্স কোডটি পড়েন? আমি মনে করি মন্তব্যগুলি (প্রতিবেদনগুলি, সতর্কতা সম্পর্কে) এবং ভোটগুলি পরীক্ষা করা উচিত (যদি অনেক বেশি ভোট থাকে তবে এটি এতটা খারাপ বলে মনে হয় না)। আমি অনেকগুলি এআর প্যাকেজ ব্যবহার করছি এবং আমার মনে হয় এগুলির বেশিরভাগই ভাল। তবে ... শয়তান কখনই ঘুমায় না :)
uzsolt

উত্তর:

7

আপনি কোডটির বিস্তৃত নিরীক্ষণ না করে এবং "বাইরে থেকে" ক্রিয়াতে পর্যবেক্ষণ করে উদাহরণস্বরূপ ভার্চুয়াল মেশিন ব্যবহার না করে আপনি পারবেন না। দূষিত প্যাকেজগুলি খুঁজে পাওয়ার কোনও বুলেটপ্রুফ উপায় নেই এবং অবশ্যই কোনও স্বয়ংক্রিয় উপায় নেই যা তুলনামূলকভাবে সহজেই পরিবেশন করা যায়নি। বাস্তবসম্মতভাবে আপনি কিছু করতে পারেন , যার মধ্যে কোনও রূপালী বুলেট নয়:

  • প্যাকেজটি ডাউনলোড করুন, আনপ্যাক করুন (এটি ইনস্টল করবেন না ) এবং আনপ্যাক করা ফাইলগুলিতে ভাইরাস চেক চালান। এটি কিছু সুপরিচিত সমস্যাগুলি খুঁজে পেতে পারে তবে লক্ষ্যযুক্ত বা কাস্টম হ্যাকগুলি নয়।
  • এটি ব্যবহার করার আগে, এটি ভার্চুয়াল মেশিনে ইনস্টল করুন এবং পরীক্ষা করুন যে এটি "সন্দেহজনক" কিছু করে না, যেমন এটি করা উচিত নয় এমন ফাইলগুলি স্পর্শ করা, বাইরের সার্ভারের সাথে যোগাযোগ করা, ডেমোন প্রক্রিয়া নিজেই শুরু করা ইত্যাদি course অবশ্যই, এটি সময় মতো ভিত্তিতে এ জাতীয় জিনিসগুলি করা যেতে পারে, উদাহরণস্বরূপ এক্স ঘন্টা চালানোর পরে, এবং কোডটির বিশদ পরিদর্শন না করে আপনি কোনও উপায় জানেন না। রুটকিট ডিটেক্টর এর কিছু স্বয়ংক্রিয় করতে পারে।
  • একটি সীমাবদ্ধ পরিবেশে ইনস্টল করুন। সেলইনাক্স, ক্রুট জেল, ভার্চুয়াল মেশিন, পৃথক সংযোগ বিচ্ছিন্ন মেশিন এবং আরও অনেক কিছুর মধ্যে বিভিন্ন ধরণের সমস্যাযুক্ত সফ্টওয়্যার থাকতে পারে, প্লেইন খারাপ থেকে শুরু করে সক্রিয়ভাবে দূষিত to
  • অবিশ্বস্ত মেশিনে কেবল পঠনযোগ্য অ্যাক্সেসের সাথে মূল্যবান (তবে গোপন নয়) ডেটা আলাদা সার্ভারে রাখা যেতে পারে।
  • অবিশ্বস্ত মেশিন থেকে অ্যাক্সেসযোগ্য এমন কোনও মেশিনে গোপন তথ্য স্থাপন করা উচিত। যে কোনও যোগাযোগের অপসারণযোগ্য মিডিয়াগুলির মাধ্যমে ম্যানুয়াল কপি থাকতে হবে।

অবশেষে, একমাত্র সুরক্ষিত সফ্টওয়্যারটি কোনও সফ্টওয়্যার নয়। আপনি কি বিশ্বাস করেন না এমন সফ্টওয়্যারটি ইনস্টল করার বিষয়ে আপনি কি নিশ্চিত? কোনও সুপরিচিত, বিশ্বস্ত বিকল্প নেই?

l0b0
সূত্র
আমি ঠিক xflux এবং সূর্য জেডিকে-র উইকি এন্ট্রিগুলি অনুসরণ করেছি followed এআরআর প্রতিটি প্রবেশের জন্য আপনার গাইড বা আমি যে প্যাকেজগুলিতে বিস্তৃত উইকি.আরচলিনাক্স নিবন্ধ আছে তা বিশ্বাস করতে পারি?
লুপ
4
কে বিশ্বাস করতে হবে তা কেউ আপনাকে বলতে পারে না। কার উপর আস্থা রাখতে হবে তা কেউ জানে না। আপনি যা করতে পারেন তা হ'ল আপনার নিজের অভিজ্ঞতার ভিত্তিতে, আপনার বিশ্বাসী লোকদের পরামর্শ, প্যাকেজের জনপ্রিয়তা, বা আপনি যে বিচার্য কোনও তাত্ত্বিক বিবেচনা করেন তা পর্যাপ্ত হতে পারে based
l0b0
ধন্যবাদ আমি নতুন প্যাকেজ ইনস্টল করার সময় এটি মনে
রাখব
2
@ L0b0 এর পরামর্শকে বিশ্বাস করতে হবে কিনা তা সম্পর্কে আমি নিশ্চিত নই।
স্পারহক
1
@ স্পারহাক ভাল, আমরা সর্বোপরি ইন্টারনেটে আছি, এবং কাকে বিশ্বাস করা উচিত তা ব্যক্তিগত সিদ্ধান্ত হতে হবে।
l0b0
3

পূর্বে উল্লিখিত হিসাবে, আপনি নিশ্চিতভাবে জানতে পারবেন না।

আমি ব্যক্তিগতভাবে ব্যবহার করি অন্যতম প্রধান হিউরিস্টিক্স হ'ল:

  • পিকেজিবিআইএলডি পড়ুন এবং এটি কোন ওয়েবসাইটগুলি থেকে সফ্টওয়্যারটি ডাউনলোড করছে তা সন্ধান করুন। আপনি যেখানে প্রত্যাশা করেছিলেন তা কি? এটি কোনও বিশ্বস্ত উত্স থেকে? উদাহরণস্বরূপ স্পটফাইটি নিন, এর উত্স হ'ল ' http://repository.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amd64.deb '

যদি আমি নিজে চেষ্টা করে ইনস্টল করতে যাচ্ছিলাম তবে আমি এটি স্পাইফাইটি ডটকম থেকে যেভাবেই ডাউনলোড করব, তাই এটি আমার বইগুলিতে ঠিক আছে। বাকী পিকেজিইউএলডি সম্পর্কে একটি সংক্ষিপ্ত স্কিমে পড়া এবং এটি সম্ভবত অস্বাভাবিক কিছু করছে বলে মনে হয় না। অবশ্যই লুক্কায়িত হওয়ার উপায় আছে তবে আমি মনে করি এআর এর কোনও বিদ্বেষপূর্ণ কোডের মূল লক্ষ্য হ'ল ইয়োরোর্ট ইত্যাদি ব্যবহার করা লোকেরা যারা সাধারণত সফটওয়্যার ইনস্টল করার আগে পিকেজিইউএলডি পড়ে না এবং সমস্যাটি স্পষ্ট না হলেও তা স্পট করে না ।

kellpossible
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.