из интернета
с официальных серверов, называемых репозиторием.
все ПО в офф.репозитории подписано устойчивыми цифровыми ключами, и ни разу не слышал хотя бы о подмене пакета.
можно. если ты имеешь доступ к установке пакетов ты можешь сделать системе что угодно - поэтому простому пользователю такое обычно не доверяется. и основное правило "не работай из-под root".
плюс есть возможность подключения сторонних репозиториев.
к примеру chrome в основном репозитории системы обычно появляется с большим запозданием.
поэтому гугл, для любителей свеженького, имеет свой репозиторий, где выкладывает самые свежие билды для chrome.
что подключиться к нему ты должен установить в систему ключ, которым подписывается реп гугла, и прописать путь до репозитория. После этого будет ставиться самый свежий chrome из всех подключенных репозиториев.