5 maneiras de fazer download de software com segurança no Linux

É um equívoco comum que não há vírus no Linux. O fato é: eles existem. Embora seja possível verificar seus arquivos de programa para encontrar o arquivo infectado, pode levar meses até perceber que o sistema Linux foi comprometido.

A confiança é uma coisa delicada e você não deve simplesmente entregá-la facilmente. Só porque algo foi fornecido na Internet não significa que você pode confiar nele. Você precisa tomar algumas medidas para proteger o seu sistema operacional e a si mesmo.

Os riscos de segurança decorrentes de negligência vão desde roubo de informações e obtenção de vírus até acesso de usuário não autorizado à sua máquina Linux. Portanto, este artigo lista maneiras seguras de fazer download de software no Linux.

1. Verifique o valor de hash

Um valor hash (ou checksum) é uma string alfanumérica de caracteres produzida quando alguns dados são passados ​​por uma função criptográfica. Ele atua como uma assinatura digital para o seu arquivo.

Para garantir que você não baixou um arquivo corrompido, vários sites de código aberto geralmente fornecem um hash esperado que você deve obter depois de terminar o download do arquivo. Vamos dar um exemplo.

Suponha que você esteja baixando o Tomcat 10, que é um servidor da web popular. O valor hash para Tomcat versão 10.0.6 é:

 3d39b086b6fec86e354aa4837b1b55e6c16bfd5ec985a82a5dd71f928e3fab5370b2964a
 5a1098cfe05ca63d031f198773b18b1f8c7c6cdee6c90aa0644fb2f2 *apache-tomcat-10.0.6.tar.gz

A seção * apache-tomcat-10.0.6.tar.gz é apenas o nome do arquivo. Os valores de 3d39 … 2f2 incluem o valor hash.

Para obter esse valor, você precisa ir ao diretório onde baixou o arquivo e executar o seguinte comando:

 sha512sum apache-tomcat-10.0.6.tar.gz

Você deve obter o valor de hash mencionado acima. Se você obtiver um valor diferente, significa que seu download foi corrompido e você precisa excluí-lo imediatamente.

Neste exemplo específico, a função hashing que usamos é sha512. Isso porque essa é a função que a fundação Apache Tomcat decidiu usar para proteger a integridade de seus downloads.

Outros sites podem usar diferentes funções de hashing, como as populares funções sha256 e sha384.

Caso o site esteja usando outras funções de hashing, tudo o que você precisa fazer é substituir o nome do comando pela função de hashing.

 sha256sum filename-of-download
sha384sum filename-of-download

Também é importante notar que o arquivo que usamos é um arquivo TAR (ou seja, um arquivo compactado). Mas e se você tiver baixado um arquivo binário em vez disso? A boa notícia é que, no Linux, você obteria o mesmo resultado hash, independentemente do tipo de arquivo.

O modo padrão das funções hash no Linux é texto. Portanto, para alternar para o modo binário, use a opção -b da seguinte maneira:

 sha256sum -b filename

2. Use sites seguros

Obter seus downloads de sites seguros reduz muito o risco de obter malware. Como regra geral, você deve sempre usar o site oficial de download do software que deseja baixar. Se por algum motivo você não conseguir encontrar o site oficial, considere usar um site confiável.

Sites de download como FileHorse e SourceForge são exemplos de sites confiáveis ​​que você pode visitar. Esses sites já existem há muito tempo e conquistaram a confiança de seus usuários.

3. Compile o código-fonte por conta própria

Um dos maiores motivos para a existência da comunidade de código aberto é que você não precisa confiar em grandes empresas de software e esperar que elas não estejam fazendo nada não autorizado em seu PC.

Ao baixar arquivos binários, você concedeu algum poder a quem compilou o código. Mas se você tiver acesso ao código-fonte, poderá retomar o controle com suas próprias mãos.

Com o código aberto, você pode verificar de forma independente se o software faz exatamente o que seu autor diz. A única desvantagem disso é que você precisa ter habilidades de programação acima da média. Você também precisará ter um bom conhecimento na área de conhecimento específica.

Você também pode decidir ser estratégico e verificar apenas os arquivos-chave de seu interesse.

Por exemplo, digamos que você tenha algum código-fonte C clonado de um repositório GitHub . Abaixo está como você o compilaria sozinho.

Execute o comando abaixo para instalar o pacote essencial para compilação . O pacote contém ferramentas importantes que são necessárias durante a construção de software no Linux.

 sudo apt-get install build-essential

Agora compile o código C usando o compilador gcc.

 gcc program-name.c -o program-name

Após a compilação, você pode executar o programa digitando:

 ./program-name

4. Use um gerenciador de pacotes oficial

A maneira mais fácil de instalar, atualizar e desinstalar o software é usando um gerenciador de pacotes. Existem vários deles, como pacman, dpkg, DNF e APT. Os gerenciadores de pacotes trabalham diretamente com repositórios de software oficiais e lojas de aplicativos.

Os gerenciadores de pacotes fazem muito trabalho pesado para você. Eles lidam com as operações padrão, como gerenciar as dependências de que o software precisa, garantir a integridade e autenticidade do download e gerenciar o controle de versão.

Outra coisa boa é que sua distribuição geralmente vem com um gerenciador de pacotes pré-instalado. Por exemplo, o Debian 10 vem com APT e os sistemas baseados em Arch vêm com o pacman.

5. Pesquisa Pessoal

O mundo do software é um lugar em constante mudança e acompanhar as tendências de segurança é um aspecto fundamental para sua proteção. Existem várias opções de instalação que você pode escolher em diferentes cenários. Por exemplo, instalar software em uma máquina virtual ou usar contêineres de aplicativos.

A contentorização de aplicativos é uma tendência particularmente interessante porque garante que seus aplicativos sejam executados da mesma maneira em diferentes ambientes de execução.

Ser capaz de isolar a execução do núcleo do software e dependências da infraestrutura subjacente fornece segurança sem precedentes. Por exemplo, você só precisa se preocupar em verificar a segurança de suas dependências uma vez e esperar que isso ressoe em diferentes ambientes.

Também é uma boa prática consultar as análises de software e acompanhar as discussões no GitHub. As análises de software fornecem uma boa imagem do que você deve esperar após um download, o comportamento inesperado que os usuários podem ter observado e suas recomendações.

As discussões do GitHub também podem alertá-lo sobre quais medidas proativas você deve tomar após / durante a instalação do software. Você também pode obter uma série de outras considerações de segurança não incluídas na documentação oficial.

Você também deve tomar conhecimento de bifurcações com muitos contribuidores no GitHub. Pode haver mudanças de protocolo ocorrendo, e sua incapacidade de acompanhar essas atualizações comprometerá sua segurança.

Recomendações e boas práticas

É sempre uma boa prática primeiro atualizar os pacotes do sistema e a lista de repositórios antes de baixar qualquer software importante. Cada gerenciador de pacotes, pacman no Arch Linux por exemplo, oferece a opção de instalar, atualizar e remover pacotes.

Depois de verificar se os pacotes instalados estão atualizados, você pode seguir em frente e baixar o software de que precisa. Sempre que possível, se você puder baixar um pacote usando seu gerenciador de pacotes, faça-o. Esta é a maneira mais fácil e segura de instalar e atualizar software no Linux.