如何识别有害的AUR包

Question

如何识别通过yaourt安装在arch linux上的包是否会对我的个人电脑有害？我在wiki中读到，我应该检查我用你做的每一个安装。但是，我到底需要检查什么，以及如何识别恶意包？

Answer 1

如果不对代码进行广泛的审核并“从外部”观察代码的运行情况，例如使用虚拟机，您就不可能做到这一点。没有找到恶意包的防弹方法，当然也没有能够相对容易规避的自动化方法。有些事情你可以现实地去做，其中没有一件是银弹：

• 下载软件包，拆包(不要安装！)并对未打包的文件进行病毒检查。这可以找到一些众所周知的问题，但没有针对性或定制的黑客。
• 在使用它之前，将它安装在虚拟机上，并检查它没有做任何“可疑”的事情，例如触摸它不应该做的文件、与外部服务器通信、自行启动守护进程等。当然，它可以在定时的基础上这样做，例如在运行X小时之后，如果不对代码进行详细检查，就不可能知道这一点。Rootkit检测器可以自动实现其中的一些功能。
• 安装在受限制的环境中。SELinux、chroot、虚拟机、独立的断开连接的机器和许多其他东西可能包含不同类型的问题软件，从普通的坏软件到主动恶意的软件。
• 有价值的(但不是秘密的)数据可以放在不同的服务器上，只需对不受信任的机器进行只读访问。
• 机密数据应放置在无法从不受信任的计算机访问的计算机上。任何通信都应通过可移动媒体手工复制。

最后，唯一安全的软件是没有软件。您确定需要安装不信任的软件吗？没有众所周知的，值得信赖的替代方案吗？

Answer 2

如前所述，你不能确定。

我个人使用的主要启发式方法之一是：

• 阅读PKGBUILD，找出它正在下载软件的网站。这是你期望的地方吗？这是一个可信的来源吗？以spotify为例，它的源是“http://repository.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amd64.deb”

如果我要尝试手动安装它，我无论如何都会从spotify.com下载它，所以这在我的书中是可以的。略读一下PKGBUILD的其余部分，它似乎并没有做任何明显不寻常的事情。当然，有一些方法可以让人鬼鬼祟祟的，但我认为，在8月的任何恶意代码的主要目标都是使用yaourt等的人，他们通常在安装软件之前不阅读PKGBUILD，即使问题很明显也不会发现问题。