问一个比较愚蠢的问题

[breeze_...@163.com]

如果一个软件或脚本在安装时提示需要root权限，那么安装后再运行它，它是不是就有能力为所欲为了？我的意思是万一它有恶意代码怎么办？从此系统不就惨遭破坏了？

谢谢各位朋友了。

[Yu Changyuan]

基本上就是这样的。
据说selinux有特殊的姿势能防着root。

On Oct 22, 2016 22:56, "breeze_...@163.com" <breeze_...@163.com> wrote:
>
> 如果一个软件或脚本在安装时提示需要root权限，那么安装后再运行它，它是不是就有能力为所欲为了？我的意思是万一它有恶意代码怎么办？从此系统不就惨遭破坏了？
>
> 谢谢各位朋友了。
>

> --
> -- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
> ---
> 您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
> 要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
> 要查看更多选项，请访问 https://groups.google.com/d/optout。

[Shell Xu]

能被防住的root就不再是root了。

2016-10-22 23:00 GMT+08:00 Yu Changyuan <y...@shlug.org>:

基本上就是这样的。
据说selinux有特殊的姿势能防着root。

On Oct 22, 2016 22:56, "breeze_...@163.com" <breeze_...@163.com> wrote:
>
> 如果一个软件或脚本在安装时提示需要root权限，那么安装后再运行它，它是不是就有能力为所欲为了？我的意思是万一它有恶意代码怎么办？从此系统不就惨遭破坏了？
>
> 谢谢各位朋友了。
>
> --

> -- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

> ---
> 您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

> 要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
> 要查看更多选项，请访问 https://groups.google.com/d/optout。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--

彼節者有間，而刀刃者無厚；以無厚入有間，恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/

twitter: @shell909090
about.me: http://about.me/shell909090

[breeze_...@163.com]

那如何在安装前就知道一个软件或脚本有没有恶意代码？windows里有各种安全软件可以去扫一扫，linux下怎么办？脚本和编译安装的软件还可以自己去分析，预编译的软件怎么办？听说还有沙盒这东西，是用来在安装前放进去测试用的吗？谢谢大家了。

-------- 原始邮件 --------
主题：Re: [shlug] 问一个比较愚蠢的问题
发件人：Shell Xu
收件人：shlug
抄送：

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Shell Xu]

代码都不开源，还玩个P的linux。。。

[YunQiang Su]

2016-10-22 23:23 GMT+08:00 breeze_...@163.com <breeze_...@163.com>:

> 那如何在安装前就知道一个软件或脚本有没有恶意代码？windows里有各种安全软件可以去扫一扫，linux下怎么办？脚本和编译安装的软件还可以自己去分析，预编译的软件怎么办？听说还有沙盒这东西，是用来在安装前放进去测试用的吗？谢谢大家了。
>

对于源码安装，上游发布tarball的时候会签名，当然也可以组织人去做代码伸进。
我猜NSA会做代码什么，审计出问题来干啥，就不知道了。

预编译的包也是一样的道理：Debian/Fedora这种大发行版都有签名机制，
至少很大程度上能保证软件包来自真正的开发者。

>
> -------- 原始邮件 --------
> 主题：Re: [shlug] 问一个比较愚蠢的问题
> 发件人：Shell Xu
> 收件人：shlug
> 抄送：
>
>
>
> 能被防住的root就不再是root了。
>
> 2016-10-22 23:00 GMT+08:00 Yu Changyuan <y...@shlug.org>:
>>
>> 基本上就是这样的。
>> 据说selinux有特殊的姿势能防着root。
>>
>> On Oct 22, 2016 22:56, "breeze_...@163.com" <breeze_...@163.com>
>> wrote:
>> >
>> >
>> > 如果一个软件或脚本在安装时提示需要root权限，那么安装后再运行它，它是不是就有能力为所欲为了？我的意思是万一它有恶意代码怎么办？从此系统不就惨遭破坏了？
>> >
>> > 谢谢各位朋友了。
>> >
>> > --
>> > -- You received this message because you are subscribed to the Google
>> > Groups Shanghai Linux User Group group. To post to this group, send email to
>> > sh...@googlegroups.com. To unsubscribe from this group, send email to

>> > shlug+un...@googlegroups.com. For more options, visit this group at
>> > https://groups.google.com/d/forum/shlug?hl=zh-CN
>> > ---

>> > 您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

>> > 要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。

>> > 要查看更多选项，请访问 https://groups.google.com/d/optout。
>>
>> --
>> -- You received this message because you are subscribed to the Google
>> Groups Shanghai Linux User Group group. To post to this group, send email to
>> sh...@googlegroups.com. To unsubscribe from this group, send email to

--
YunQiang Su

[依云]

On Sun, Oct 23, 2016 at 01:02:07PM +0800, YunQiang Su wrote:
> 2016-10-22 23:23 GMT+08:00 breeze_...@163.com <breeze_...@163.com>:
> > 那如何在安装前就知道一个软件或脚本有没有恶意代码？windows里有各种安全软件可以去扫一扫，linux下怎么办？脚本和编译安装的软件还可以自己去分析，预编译的软件怎么办？听说还有沙盒这东西，是用来在安装前放进去测试用的吗？谢谢大家了。
> >
>
> 对于源码安装，上游发布tarball的时候会签名，当然也可以组织人去做代码伸进。
> 我猜NSA会做代码什么，审计出问题来干啥，就不知道了。
>
> 预编译的包也是一样的道理：Debian/Fedora这种大发行版都有签名机制，
> 至少很大程度上能保证软件包来自真正的开发者。

Arch 现在也有签名。不知道 Mint 自安装镜像被修改事件之后，有没有弄上签名？

不过好多人都不知道使用签名来验证文件啊，特别是下载安装镜像的时候，没有包
管理器来自动验证签名。

另外使用 CentOS 的时候，经常需要添加第三方源，key 也是从网上下载的，这时
候只能依赖 HTTPS 了……

--
Best regards,
lilydjwg

Linux Vim Python 我的博客:
http://blog.lilydjwg.me/
--
A: Because it obfuscates the reading.
Q: Why is top posting so bad?

[Shell Xu]

这个https真的不一定管事。最怕的是第三方做的不正规，导致密码泄漏被修改了。。。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

[宋 为]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

比较好奇：如何正确地使用GnuPG来验证Linux发行版安装镜像的签名？

许多发行版网站的下载页面上都不会写出验证用的公钥。如Debian，需要进入到
文件服务器里面才能找到对应的签名文件（SHAxxxSUMS.sign），且并不知道这
个key放在哪里。

也不知道要如何信任从网上公钥池服务器搜索到的公钥：谁知道这是不是官方发
布的key呢？

如果网页上有公钥，那么这个公钥实际是置于https的保护之下的。（写在http
网页里面的哈希和公钥好像并没有什么意义），那么就又成了这种状况：

> 另外使用 CentOS 的时候，经常需要添加第三方源，key 也是从网上下载的， 这时候只能依赖 HTTPS 了……

现在这个世界这么混乱，万一哪个奇怪的CA出于什么不可告人的目的签了这个发
行版网站的证书呢？

如果网页上没有公钥，那么我们就只有通过GPG的“信任网”概念来探究这个密钥
是不是值得信任来。我至今都没搞清楚是不是要相信“信任网”，因为我感觉这些
互相签公钥的网民中的很大一部分都是随手乱签的（我的朋友们都是这样的）。
我不觉得这个“网络”经得起大规模短ID碰撞的攻击。

若是https、信任网都不太可信，那么最保险的办法岂不是只有私下认识发行版
的相关人员了？（并且把这个人按在电脑前面逼其验证其常用的各种key是否正确）

在 2016年10月23日 19:04, 依云 写道:
>
> Arch 现在也有签名。不知道 Mint 自安装镜像被修改事件之后，有没有弄上签名？
>
> 不过好多人都不知道使用签名来验证文件啊，特别是下载安装镜像的时候，没有包 管理器来自动验证签名。
>
> 另外使用 CentOS 的时候，经常需要添加第三方源，key 也是从网上下载的，这时 候只能依赖 HTTPS 了……
>

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=Fbb2
-----END PGP SIGNATURE-----

[Shell Xu]

debian的key...
...是内置在官方镜像里的。

如果你要确认这个镜像的安全性，找你熟悉的大佬和DD，互相交叉签署过的，检验一下就得了。

至于信任网，一般我们只和认识的人互相签署。如果你不相信某人能保护你的安全，请不要和他交叉签署。因为他乱签，会害你认错人。所以一般来说，签署的时候有严格的规程。线下碰面，交换官方身份信息（是的，我看过多个国家的护照和身份证件，并且吐槽过很多人的官方照片）。

至于短ID碰撞。。。
。。。签署时需要核对完整的fingerprint，这是常识吧。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

[Chaos Eternal]

有一点一直不能理解，光看passport 如何证明那个人就是拥有证书的那个人

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

彼節者有間，而刀刃者無厚；以無厚入有間，恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/

twitter: @shell909090
about.me: http://about.me/shell909090

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Chaos Eternal]

i mean , the key

[Shell Xu]

不需要证明他就是拥有证书的那个人啊。只能说，拥有这个passport的人愿意声明自己的身份为xx，所以希望你来签署他的证书。至于实际上这个人其实让你签署的是另一本证书，也只能说他愿意为这本证书的主人负责。如果你信不过这个人，那么还是不要这么做。信任链的核心就是，你，相信某人。当然也包括他不会乱签一通证书来整你。。。
反过来的问题才值得担心。很多时候，我们往往在网络上聊的不错。然后碰头签署。这时，passport怎么证明你眼前这人就是在网络上帮助你的某人？很可能其实是某个匪徒打晕了你的朋友，伪造了passport来和你碰头，然后递上一张假的fp让你签署。

有一点一直不能理解，光看passport 如何证明那个人就是拥有证书的那个人

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

彼節者有間，而刀刃者無厚；以無厚入有間，恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/

twitter: @shell909090
about.me: http://about.me/shell909090

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Liang Guo]

2016-10-23 21:41 GMT+08:00 Chaos Eternal <chaose...@shlug.org>:
> 有一点一直不能理解，光看passport 如何证明那个人就是拥有证书的那个人
>
>

见面的时候，某人会给你包含他本人姓名和 key fingerprint的信息，同样你也会给他。

如果你信任他，就用你自己的private key 签署他的 public key，并把生成的文件，用他的public
key加密，并发给他，如果这个人不拥有这个key pair，就无法打开你的信息，这样就完成了相互识别的过程。

有一个无法解决的问题是，如何把一个人 和 一个名字关连起来。 比如一个人拿着一个key 找A，另外一个人拿着同样的key
找B，无法知道拿着同一个key的2个人，到底是不是同一个人。在这个造假成风的国度，官方的身份证明文件并没有什么鸟用。

--
Liang Guo
http://guoliang.me/

[小马xiaoma]

下次我们见面互签一下呗

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

[小马xiaoma]

如果碰到这个提示，你可以选择不同意。

在 2016年10月22日 下午10:56，breeze_...@163.com <breeze_...@163.com>写道：

如果一个软件或脚本在安装时提示需要root权限，那么安装后再运行它，它是不是就有能力为所欲为了？我的意思是万一它有恶意代码怎么办？从此系统不就惨遭破坏了？

谢谢各位朋友了。