#そろそろ気になってきたapt
Ubountu公式のパッケージを入れるために、言われるがまま参考書通りこうしていた。
$ sudo apt-get install <パッケージ名>
これですぐダウロードインストールがされてめでたくパッケージの恩恵に与ることになっていたのだが・・・
そろそろセキュリティ面が気になってきた。
#結論・・・大丈夫・・・たぶん
そう。心配症の人の為に先に言っておこう。大丈夫なのだ。・・・たぶん。
##理由その1
デフォルトでは公式のリポジトリからしかダウンロードされないから
aptがリポジトリを一覧で管理している様子がこれで確認できる
$ vi /etc/apt/sources.list
ここからしかダウンロードされないということだ。信頼性の高い公式のリポジトリなら少しは安心してくれたかな?じゃそのパッケージ自体が、改ざんされていたら?という嫌疑は残るわけだが・・・理由2を見て安心してくれ。
##理由その2
ハッカーによる改ざんを防ぐ目的で、配布されたパッケージが本当に公式メンテから配布されたものかどうかを確認するために、パッケージには署名(ハッシュ)がされている。
その署名の確認には公開鍵が用いられる。え、それがどうしたって?まぁ理由3に続くんだが。
##理由その3
その公開鍵自体だれのものでもいいわけじゃなくて、aptによって管理されている。
下記コマンドで信頼された鍵の一覧を確認できる。
$ apt-key list
つまりここに登録されていない公開鍵は、署名の正当性を確認するためには用いることができない。
基本的には、この公式の公開鍵だけで十分(それが推奨されているように思える)
##付録
公式以外のリポジトリから信頼できるパッケージをインストールしたいときは?
sources.listに第三者のリポジトリを追加する。署名の確認用に対となる公開鍵をaptに登録してやること。
$ apt-key add < 公開鍵
#まとめ
インストール時には、暗号化技術を用いた、原本相違がないかとか、信頼できる配布場所かなどの検証がなされており、デフォルトの設定はすべて公式が保証しているものをインストール事になるから、少しは安心しよう。
慢心を防ぐため、あくまでも少しと言っておこう。