apt-get install命令对中间人的攻击有多安全？

Question

我认为标题说明了一切，使用apt-get与攻击者一起使用apt-get是多么安全，攻击者会注入自己的数据包并阻塞原始数据包(中间是man)。

Answer 1

Ubuntu和Debian存储库中的所有包都是使用SecureApt签名的。非对称密码是非常安全的，它极不可能以这种方式危及您的安全。第三方存储库被击中和丢失，它们可能会被烧掉，也可能不会被烧掉。如果没有签名，apt应该抛出一个警告，通知您您正在安装一个未签名的包。但是，如果它来自第三方，你也可以安装一个后门，所以请确保你信任这个来源。

另外，人们并不真正“注入数据包”来执行MITM。他们将使用DNS缓存中毒或ARP表中毒之类的方法，以便您从它们控制的HTTP服务器下载包。这不是注射攻击。