Usamos espelhos de repositório locais do Ubuntu, porque nosso tráfego externo não é gratuito. Sempre que eu apt-get install "program" obtiver desse repositório.
A questão é ... os mantenedores do repositório podem substituir qualquer pacote no repositório com seu próprio pacote?
Posso ser hackeado facilmente em qualquer apt-get upgrade ou apt-get install ou apt-get dist-upgrade ?
Recebemos pacotes muito básicos dos espelhos locais do Ubuntu, como "telnet" ou qualquer outro.
Embora existam muitos mecanismos para proteger um repositório, incluindo a assinatura de pacotes e assim por diante, eles são tão seguros quanto o mantenedor os faz. Um repositório de terceiros mal gerenciado que é invadido ou executado por um indivíduo mal-intencionado pode, de fato, instalar um software hostil.
Não.
Todos os pacotes e índices (Packages.gz, Sources.gz, ...) devem ser assinados usando uma chave GPG. Também apt usa o md5sum para verificar se ele baixou uma cópia correta do arquivo de índice de Pacotes.
Se alguém substituir ou modificar um pacote, o pacote não corresponderá mais ao sinal de GPG.
Ambos os repositórios Debian e Ubuntu APT têm vários níveis de verificações feitas antes de um pacote estar disponível para você baixar. Os uploads iniciais de pacotes pelos desenvolvedores são assinados com o GPG, incluindo várias somas de verificação nos arquivos individuais que compõem o upload do pacote que, então, têm as somas de verificação e a assinatura do GPG verificadas antes de serem aceitas. Então o próprio repositório tem sua própria chave GPG que é usada para assinar os arquivos de lançamento listando os pacotes disponíveis no repositório. Os arquivos de lançamento do repositório também incluem dados de soma de verificação que os vários utilitários de instalação baseados em APT então verificam, bem como a assinatura GPG nos próprios arquivos de lançamento.
Portanto, desde o envio pelo desenvolvedor mantendo o pacote para download e instalação em sua máquina local, há um método para verificar se nada foi adulterado ou alterado.