it-swarm-eu.dev

Cosa significa Mark Shuttleworth per "abbiamo radice"?

In un post sul blog in risposta alla controversia sulla privacy di Amazon , Mark Shuttleworth ha scritto:

Non ti fidi di noi? Ehm, abbiamo radice . Ti fidi già di noi con i tuoi dati. Ti fidi di non rovinare la tua macchina ad ogni aggiornamento. Ti fidi di Debian e ti fidi di una vasta fascia della comunità open source. E, soprattutto, ti fidi di noi per affrontarlo quando, essendo umani, sbagliamo.

Cosa intende per "abbiamo radice"? Sicuramente Canonical non ha accesso root a tutte le macchine che eseguono Ubuntu?

48
HighCommander4

La formulazione di quella frase può sembrare un po 'preoccupante perché in un certo senso implica che abbiano accesso root come backdoor che è già installato e in uso. La verità è che era solo una brutta formulazione da parte di Mark e quello che ha cercato di spiegare è che, sì, hanno un potenziale accesso root alla tua macchina perché ogni aggiornamento del pacchetto funziona come root e a quel punto possono fare e installare tutto ciò che vogliono o qualsiasi cosa che potrebbe potenzialmente intrufolarsi da qualche progetto open source.

Se passi anche attraverso i commenti su quel post del blog troverai Mark che fornisce la risposta alla tua domanda (il suo nome utente nei commenti è 'mark')

Qualcuno gli ha chiesto:

Sebastian dice: ( http://www.markshuttleworth.com/archives/1182#comment-396204 )
23 settembre 2012 alle 11:42
Ermm. Hai radice? Dettagli per favore.

e poi Mark rispose:

mark dice: ( http://www.markshuttleworth.com/archives/1182#comment-396225 )
23 settembre 2012 alle 13:00
@ Sebastian: ogni aggiornamento del pacchetto viene installato come root.

65
Ivan Kovacevic

Ti fidi di loro perché distribuiscono il software che esegue il tuo computer. I loro processi funzionano come root: tu hai fidarti di loro perché il computer è nelle loro mani, più di quanto non lo sia nelle tue. Mentre sei l'amministratore della macchina, usi i loro strumenti per svolgere le tue attività di amministratore.

Il punto che sta sottolineando è che è possibile eseguire solo un sistema operativo distribuito da un fornitore di cui ci si fida perfettamente e completamente, poiché il fornitore ha una potenza illimitata rispetto ai computer su cui è in esecuzione il sistema operativo.

In questo caso, sta sottolineando l'apparente assurdità delle grida che Canonical sta invadendo la privacy dei suoi utenti attraverso l'integrazione di Amazon. Se la società volesse invadere la tua privacy, potrebbe farlo in modi molto più sottili e subdoli. Ma, è vero, tu ti fidi fidati di Canonical; hai dall'inizio se esegui Ubuntu sul tuo computer, come dimostrato dal fatto che esegui Ubuntu sul tuo computer. Quindi, se ti fidi già che facciano tutto , allora dovresti fidarti di loro questo giusto.

Non è una perfetta arugment, e non sono sicuro che sia anche un argomento valido . Ma questa è la sua argomentazione.

36
tylerl

Fondamentalmente, ogni disto ha i propri server di repository, che sono l'opzione predefinita per il sistema installato da cui recuperare i pacchetti. Ciò significa che quando si installa un nuovo pacchetto o si scaricano aggiornamenti, questi vengono scaricati da tali repository.

Tu (noi) ti fidi dei manutentori del repo che i pacchetti caricati non sono dannosi. La maggior parte dei repository ufficiali offrono i sorgenti ai pacchetti disponibili, in modo da poter scaricare teoricamente i sorgenti per vedere cosa fa e compilarlo da soli. Ma nessuno lo fa.

Qualche tempo fa la maggior parte dei repository di pacchetti ha implementato una funzionalità di firma dei pacchetti. Ogni uploader di pacchetti ha una chiave di firma personale con la quale firma i propri pacchetti prima di caricarli nel repository. Ciò impedisce a un utente malintenzionato malintenzionato (che è entrato nel server del repository) di servire i suoi pacchetti alterati. Tuttavia, ciò non influisce sulle azioni dell'autore del caricamento, che potrebbe se volesse pubblicare un pacchetto modificato.

Il modo in cui la gestione dei pacchetti nella maggior parte delle distro funziona è che un pacchetto sia installato a livello di sistema e deve essere installato con i privilegi di root. Ogni pacchetto ha hook che devono essere eseguiti prima e dopo l'installazione per la sua corretta installazione, e anche questi hanno i privilegi di root.

Quindi, in teoria, potresti aggiornare il tuo sistema, scaricare un pacchetto dannoso senza nemmeno saperlo.

Il punto che Shuttleworth stava cercando di sottolineare è che se, come canonici, volevano eseguire qualcosa di dannoso sui nostri sistemi, avevano già un modo.

11
trouble

Il programma di installazione e il gestore pacchetti di Ubuntu funzionano come root. Devono: è l'unico modo per installare un sistema operativo. Installa anche programmi eseguiti come root. Altre distribuzioni Linux (e altri sistemi operativi, per quella materia) non sono diverse, anche se i dettagli esatti possono cambiare un po ': Ubuntu sembra essere solo nell'ambito di questa discussione. Fondamentalmente non c'è modo di aggirare questo, perché parte del punto di avere un account root è che nessun altro può fare queste cose, ma qualcuno deve essere in grado di farle.

Per questo motivo, sarebbe banale per il creatore di un sistema operativo scivolare in una backdoor, e le probabilità sono che non lo noteresti nemmeno. Ai fini pratici, non c'è modo di aggirare questo. Potresti ottenere tipo di vicino se hai creato tu stesso il tuo sistema usando Linux From Scratch, ma questo richiede la costruzione del tuo sistema da solo e tutto ciò che comporta (e in realtà, il metodo LFS richiede che tu lo faccia due volte) . Questo non è qualcosa che la maggior parte delle persone ha tempo, denaro o esperienza da fare, e anche se lo facesse, non è ancora un metodo infallibile per affrontare questa preoccupazione. Il risultato finale è che non hai praticamente altra scelta che fidarti del produttore del tuo sistema operativo.

Il corollario di ciò è che devi assicurarti che il creatore del tuo sistema operativo sia qualcuno di cui ti puoi fidare. Questa parte è dove l'argomento di Shuttleworth non regge così bene. La sua posizione sembra molto più simile a un confronto "devi comunque fidarti di noi, quindi dovresti semplicemente occupartene" invece di un tentativo di affrontare o addirittura riconoscere le preoccupazioni della gente.

7
The Spooniest

Ogni volta che esegui Sudo apt-get upgrade stai scaricando un .deb pacchetto dai repository Ubuntu e lasciando che il programma di installazione funzioni sotto root (sai, Sudo) per installarlo. Se Ubuntu voleva manipolare uno dei pacchetti e includere una backdoor, loro possono, e probabilmente non lo saprai mai.

Implicitamente, ti fidi di Ubuntu di non includere una backdoor in questi pacchetti.

7
Adi