Depo listeleri güvenli midir? HTTPS sürümü var mı?

Question

Depo listeleri güvenli midir? HTTPS sürümü var mı?

#1 gelen thomasrutter (27 oy)

18

Havuz güncellemeleri güvenli mi?

Geliştirici tarafındaki küçük bir beyin taşıyıcısı olarak, depo listesini neden http://security.ubuntu.com ve diğer http (güvenli olmayan) sitelerde /etc/apt/sources.list listelendiğini anlayamıyorum. Sertifika zinciri eşleşmesi olmadan bu, "ubuntu.com sitesine sorun ..." yerine "güncellenecek paketlerin listesi için herhangi bir yanıtlayıcıya sorun" şeklinde görünür.

Herhangi bir ağ, güncelleme sitelerini aldatmayı seçebilir ve bu, yerel olarak önbelleğe alınmış ve vurgulu bir kopya sağlamak için yaygın bir uygulamadır?

apt repository updates

sordu Charles Merriam 03.10.2013 03:04

1 cevap

Etiketlerdeki diğer soruları oku apt repository updates

Gsettings ile kullanmak için SCHEMA / PATH / KEY listesini nereden alabilirim? Titrek pencereleri nasıl etkinleştiririm?

score 27 · Answer 1

Kısacası, evet, dosyaları imzalamak için kullanılan ortak anahtar şifrelemesi nedeniyle güvendeler.

APT tarafından indirilen tüm dosyalar, indirilen dosyanın Ubuntu ve sadece Ubuntu tarafından imzalanmış olarak bilgisayarınızda saklanan ortak anahtarlara karşı doğrulanmasını sağlayan bir imzana sahiptir. Bu, aldığınız dosyanın Ubuntu tarafından bir aşamada yetkilendirildiğini ve bu tarihten itibaren değiştirilmediğini veya değiştirilmediğini doğrular.

Bunun nasıl çalıştığına dair teknik açıklamalar Ubuntu'dan (ve Debian'dan ).

HTTPS yerine HTTP kullanımı nedeniyle, evet dinleyicileri hangi dosyaları indirdiğinizi görebiliyordu, ancak bu durumda gizliliğin sizin endişeniz olması pek olası değil. Paketlerin zararlı kodu enjekte etmek için modifiye etmeye çalışan ortadaki bir adam, imza mekanizmasını kırdığı için hala başarısız olur.

Bu imzalama mekanizmasındaki olası bir hata, paketin en güncel sürümünü aldığınızın garanti edilmemesidir (aslında, bazen aynaların güncellenmesi yavaştır). Bu sorunu azaltmaya yardımcı olmak için, imzalanan sürüm dosyası, başvurulan tüm dosyaların bayat olarak nitelendirilmesi gereken bir "Geçerlilik Tarihi" tarihi içerir. Ortadaki bir adam için, bu geçerli tarihte arşivin değiştirilmemiş eski bir versiyonunu içeren bir arşivin yerini alması ve APT'nizin hiçbir güncelleme olmadığını düşünmesi akla yatkın olacaktır. Ancak paketlerde herhangi bir keyfi değişiklik yapamazlar ve belirli bir noktadan sonra geriye gidebilirler.

İmzalama mekanizmaları, dosyaların Ubuntu tarafından kontrol edilmeyen birçok sunucu üzerinde yansıtıldığı bu tür dağıtılmış ortamlarda HTTPS'den çok daha iyi güvenlik sağlar. Özünde sadece aynaya değil Ubuntu'ya güvenmeniz gerekiyor, bu yüzden orijinal olarak Ubuntu'dan geldiğini ve o zamandan beri değiştirilmediğini ispatlamanız gerekiyor - aynanın kimliğini doğrulamaya gerek yok.

PPA gibi kaynak listenize resmi olmayan bir depo eklediğinizde, Ubuntu tarafından imzalanmayan dosyaları alacaksınız. APT sizi bu konuda uyarmalıdır, çünkü Ubuntu tarafından yetkilendirilmiş olarak bilgisayarınızda yüklü olan ortak anahtarlardan herhangi biri ile eşleşen bir sertifika tarafından imzalanmamıştır.