Почему нет никакого транспорта https для debian способного инструмента?
Можно использовать Perl Regexp::Common::URI::http. Из документации CPAN:
use Regexp::Common qw /URI/;
while (<>) {
/$RE{URI}{HTTP}/ and print "Contains an HTTP URI.\n";
}
Существует. Необходимо установить пакет apt-transport-https. Затем можно использовать строки как
deb https://some.server.com/debian stable main
в Вашем sources.list файл. Но обычно это не необходимо, так как все содержание общедоступно так или иначе, и оно добавляет шифрование наверху и задержку. Так как Вы не доверяете открытому ключу взломщиков, даже трафик HTTP безопасен от нападений на MitM. apt предупредит Вас и не установит пакеты, когда взломщик введет пакеты, которыми управляют.
Править: Как упомянуто в комментариях это действительно более безопасно для использования репозитория TLS. Исследование показывает, что использование склонного на незашифрованных репозиториях может действительно изложить угрозу безопасности, поскольку транспорт HTTP уязвим для атак с повторением пакетов.
-
1Нет, большинство зеркал не поддерживает https. Просто, потому что не имеет большого смысла шифровать этот вид трафика. Пакеты проверяются так или иначе, и информация общедоступна. – Marco 11.09.2013, 15:33
-
2я могу думать о паре причин, которые я мог бы все еще предпочесть загружать по TLS: 1) я мог бы заботиться о своей конфиденциальности при установке пакетов и 2) в коде проверки подписи пакета могли бы быть ошибки, который мог использовать MITM. – Jack O'Connor 24.03.2016, 21:46
-
3, в то время как первое возражение о конфиденциальности понятно, второе, похож на высказывание, что мне нравится, когда веб-сайты подписывают свое содержание с ключами PGP, потому что могли бы быть ошибки в коде TLS. И PGP и TLS устанавливают доверие; Вам не нужны оба для этого. – Paul Draper 25.04.2016, 08:37
-
4@Marco Ваш ответ является неправильным; многочисленные научно-исследовательские работы показали и APT и ВКУСНЫЕ репозитории, чтобы быть уязвимыми для атак с повторением пакетов, когда к репозиторию получают доступ через HTTP, даже с подписями GPG. К репозиториям нужно только получить доступ через TLS, 100% времени. – Joe Damato 21.10.2016, 13:00
-
5Вот бумага @Joe, Damato обращается к - также видят его ответ здесь – SauceCode 22.10.2016, 05:44
Ваше предположение является неправильным: можно использовать загрузки HTTPS. Просто необходимо найти зеркало, которое поддерживает его и помещает его URL в список источников. Необходимо будет установить apt-transport-https пакет.
Debian не делает загрузки HTTPS легкими, потому что существует очень мало преимущества. Распределение пакета Debian уже включает механизм для проверки пакетов: все пакеты подписываются с Gpg. Если активный man-in-the-middle перенаправит Ваш трафик к серверу с поврежденными пакетами, то повреждение будет обнаружено, потому что подписи GPG не будут действительными. Используя GPG, а не HTTPS имеет преимущество, которое он защищает от большего количества угроз: не только против активного man-in-the-middle на соединении конечного пользователя, но также и против жулика или зараженного зеркала или других проблем где угодно в цепочке распределения пакета.
HTTPS действительно обеспечивает небольшое преимущество конфиденциальности, в котором он затеняет пакеты, которые Вы загружаете. Однако пассивный наблюдатель может все еще обнаружить трафик между Вашим компьютером и сервером пакета, таким образом, они знали бы, что Вы загружаете пакеты Debian. Они могли также получить хорошую идею, которых пакетов Вы загружаете с размеров файла.
Одно место, где HTTPS помог бы, для начальной загрузки доверия, для получения известного - действительное изображение установки. Debian, кажется, не обеспечивает что: существуют контрольные суммы установочного носителя, но только по HTTP.
-
1Существует версия HTTPS установочного носителя: cdimage.debian.org/debian-cd – Fedir RYKHTIK 23.06.2017, 11:41
совсем недавно я пришел по вопросу с поддержкой моей компании APT. Проблема заключалась в том, что если мы используем стандартный HTTP-транспортом, кто-то еще может легко получить пакет. Поскольку компания упакована собственным проприетарным программным обеспечением и не хочет делиться этим со всеми, HTTP Transport становится проблемой. Не трагедия, а проблема. Существует несколько способов ограничения доступа к пакету - брандмауэргель, ограничивая доступ на уровне веб-сервера, используя SSH в качестве транспорта. Довольно легко потреблять чтение на этой теме можно найти здесь: Ограничить доступ к вашим частным репозитории Debian
В нашем случае мы решили использовать аутентификацию HTTPS Transport + Client Client. Вкратце, все, что нужно:
- Подготовка к самозащитую сертификаты, клиент и сервер (используя Easy-RSA);
настроить веб-сервер, который фрондут репозиторий, чтобы принять только HTTPS; В случае NGINX это может выглядеть:
Server { Слушать 443; root / путь / к / публично; server_name secure_repo; SSL на; ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; ssl_session_timeout 5m; SSL_Protocols SSLV3 TLSV1 TLSV1.1 TLSV1.2; SSL_CIPHERS ALL:! ADH:! Экспорт56: RC4 + RSA: + High: + Medium: + Low: + SSLV3 :; SSL_PREFER_SERVER_CIPHERS ON; ssl_client_certificate /etc/nginx/ssl/ca.crt; ssl_verify_client on; расположение / { AUTOINDEX ON; } }Положите клиентский сертификат, ключ клиента и сертификат CA на / etc / apt / ssl и, в случае с ubuntu, добавьте файл 00https на /etc/apt/conf.d:
Debug :: pookire :: https "true"; Приобретать :: https :: example.com { Проверить-одноранговый «правда»; Подтвердить-хозяин "ложь"; Cainfo "/etc/apt/ssl/ca.crt"; SSLCert "/etc/apt/ssl/client.crt"; Sslkey "/etc/apt/ssl/client.key"; };
Имейте в виду, что если вы используете самозагодный сертификат, важно выключить проверку хоста: Verify-host "false"; Если вы этого не сделаете, вы поймаю ошибку:
SSL: имя субъекта сертификата (BLAH-BLAH-BLAH) не соответствует целевому имени хоста «example.com»
и здесь мы идем, нет более несанкционированного доступа к хранилищу репозитория. Так что это довольно полезное и мощное.
Для варианта использования «анонимность» также существует apt-transport-tor , который затем позволяет поместите URI типа tor + http: // в файлы sources.list. Это намного лучшая защита анонимности, чем простое шифрование соединения с вашим зеркалом.
Например, местный наблюдатель по-прежнему будет знать, что вы обновляете или устанавливаете программное обеспечение даже с HTTPS, и, вероятно, сможет сделать некоторые приличные предположения относительно того, что из них вы делаете (и, возможно, даже какие пакеты, в зависимости от размера ).
Debian предоставляет репозитории APT через «луковые службы» Tor, так что вы можете получить сквозное шифрование (аналогично TLS), не доверяя системе доменных имен. См. onion.debian.org для всех служб Debian, доступных таким образом. Главный FTP-репозиторий Debian находится по адресу vwakviie2ienjx6t.onion
Обратите внимание, что из-за таких уязвимостей, как
https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1647467
... которые обходят подписку InRelease, вероятно, неплохо было бы все равно настроить HTTPS.