De onde vêm os programas instalados com o apt-get?

Os espelhos na lista que você pode escolher ao configurar qual espelho usar na GUI "Software & Atualizações" são espelhos oficiais de confiança dos mantenedores do Ubuntu. Eles selecionam opções para essa lista que são conhecidas por serem espelhos exatos do repositório principal do Ubuntu.

Basicamente, a Canonical já fez o trabalho para você quando se trata de determinar a confiabilidade desses espelhos, de modo que você geralmente pode confiar neles.

Teoricamente, ainda é possível acabar baixando o "software infectado" através do apt-get se a integridade do seu servidor DNS estiver comprometida de uma forma que aponte seu nome de espelho de escolha para uma fonte maliciosa. De um modo geral, no entanto, você pode confiar em seu ISP para fornecer os endereços IP corretos para esses espelhos, o que significa que você pode confiar neles.

Se você quiser tomar a resolução de DNS com suas próprias mãos, sempre poderá selecionar um serviço DNS público, como OpenDNS ou DNS público do Google

Você tem pelo menos duas maneiras de saber de onde o pacote virá:

Use a opção --print-uris para informar apt-get para mostrar de onde o arquivo será baixado, mas não faça mais nada.

# apt-get install iftop --print-uris
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  iftop
0 upgraded, 1 newly installed, 0 to remove and 4 not upgraded.
Need to get 35.9 kB of archives.
After this operation, 105 kB of additional disk space will be used.
'http://in.archive.ubuntu.com/ubuntu/pool/universe/i/iftop/iftop_1.0~pre2-1_amd64.deb' iftop_1.0~pre2-1_amd64.deb 35910 MD5Sum:a21d03c798bd7a553712e117b44806f5

Use apt-cache para ver quais são os candidatos para instalação e de onde eles serão baixados:

# apt-cache policy iftop
iftop:
  Installed: (none)
  Candidate: 1.0~pre2-1
  Version table:
     1.0~pre2-1 0
        500 http://in.archive.ubuntu.com/ubuntu/ precise/universe amd64 Packages

Em geral, se os domínios de URIs terminarem com .ubuntu.com ou .canonical.com , eles poderão ser considerados confiáveis - são repositórios ou espelhos oficiais de primeira parte. O upload de acesso a eles é concedido apenas a desenvolvedores altamente confiáveis.

Se os URIs forem de um domínio diferente, confira a lista de espelhos . Se o domínio estiver listado, eles também são confiáveis.

Qualquer outra coisa, não é certo.

Finalmente, para apt considerar uma origem confiável, ela deve assinar seus pacotes e a chave pública da origem deve ser adicionada a apt . Quando você adiciona um PPA por add-apt-repository , ele tentará importar a chave do PPA. Para outros repositórios, você pode fazer algo como:

wget -O - http://some.site/site.pub | apt-key add -

E você está adicionando novamente a chave dessa fonte para apt , marcando-a como confiável.

Software obtido / baixado usando o comando apt-get no terminal é um software armazenado em repositórios conhecidos ou verificados ou canais de software do Ubuntu. Existem variantes para o comando APT que permitem adicionar software de outras fontes. Repositórios são canais de software.

Você pode verificar quais repositórios está configurado para usar verificando quais "fontes de software" estão disponíveis para o seu sistema, verificando a lista de repositórios .....

Abra o Gerenciador de Pacotes Synaptic vá para as configurações clique nos repositórios

aqui você pode ver e configurar todas as fontes de software - ou somente usar confiável ... etc ...

se você marcar a aba que diz "outro software", você verá uma lista mais completa dos servidores que seu computador está configurado para receber ... algumas das maneiras de atualizar essa lista, etc., estão no link fornecido por você