Usa apt-get
https ou algum tipo de criptografia? Existe uma maneira de configurá-lo para usá-lo?
Usa apt-get
https ou algum tipo de criptografia? Existe uma maneira de configurá-lo para usá-lo?
Respostas:
apt-get
(e outros comandos de manipulação de pacotes, que são um front-end para as mesmas bibliotecas APT) podem usar HTTP, HTTPS e FTP (e sistemas de arquivos montados). Se você especificar https://
URLs em /etc/apt/sources.list
e /etc/apt/sources.list.d/*
, o APT usará HTTPS.
O APT verifica a assinatura dos pacotes. Portanto, você não precisa ter um meio de transporte que forneça autenticação de dados. Se um invasor modificar os arquivos que você está baixando, isso será percebido. Usar uma verificação de assinatura é melhor do que usar uma conexão HTTPS, porque detectará um ataque no servidor do qual você está baixando, não apenas um ataque em trânsito.
Mais precisamente, o fluxo de dados (simplificado) para um pacote é o seguinte:
O HTTPS garante que a etapa 4 ocorra corretamente. As assinaturas de pacote garantem que as etapas 2 a 4 ocorram corretamente.
De fato, há um pequeno benefício no HTTPS para a etapa 4: as assinaturas do pacote garantem apenas que o pacote seja autêntico. Um invasor na etapa 4 pode representar um servidor legítimo e servir versões antigas do pacote. Por exemplo, o invasor pode impedir que você faça o download de atualizações de segurança, na esperança de explorar uma vulnerabilidade em sua máquina que você teria corrigido se não fosse o ataque. Este não é um cenário muito realista, porque requer um invasor ativo (de modo que teria que ser alguém no controle de sua conexão com a Internet), mas poderia acontecer em princípio.
O outro benefício do HTTPS seria se você estivesse tentando ocultar o fato de estar baixando pacotes do Ubuntu de alguém bisbilhotando sua conexão de rede. Mesmo assim, o bisbilhoteiro podia ver a qual host você está se conectando; se você se conectar a um espelho do Ubuntu e baixar centenas de megabytes, é claro que você está baixando pacotes do Ubuntu. O bisbilhoteiro também pode descobrir principalmente quais pacotes você está baixando do tamanho dos arquivos. Portanto, o HTTPS só seria útil se você estiver baixando de um servidor que também ofereça outros arquivos de tamanho semelhante - não vejo nenhum ponto, exceto pacotes de terceiros, e apenas em circunstâncias muito incomuns.
Para reiterar: o benefício usual do HTTPS, que é saber que você está conectado ao servidor real, é inútil ao baixar pacotes do Ubuntu. A verificação de assinatura nos pacotes oferece uma garantia mais forte do que o HTTPS pode oferecer.
apt-get update
relataria erro ao tentar acessar os links. Com ppas: o mesmo. Alguém já tentou?
archive.ubuntu.com
não . Você pode verificar no seu browser Se um servidor suporta prefixando https: // para o URL e ver se você tem uma lista de diretórios, etc.
Com o APT, normalmente o mais importante não é que sua conexão seja criptografada, mas que os arquivos que você está recebendo não foram violados.
O APT possui verificação de assinatura interna para garantir isso.
A criptografia impediria que os bisbilhoteiros pudessem ver o que você está baixando, mas o que você está realmente baixando (e solicitando) é bastante incontroverso: será o mesmo que milhares de outros usuários do Ubuntu estão baixando e os arquivos não contêm nada que não seja '' t disponível gratuitamente em muitos servidores. Ainda assim, se você precisar de privacidade sobre quais pacotes você está baixando em particular, o HTTPS pode ser usado (especifique-o em seu sources.list).
A verificação de assinatura incorporada ao APT garantirá que os arquivos que você recebe não foram violados. Realmente não importa de onde os arquivos vêm e é até possível ter proxies ou proxies reversos entre você e o servidor para reduzir a carga do servidor ou acelerar você. A verificação de assinatura ainda garante que você esteja obtendo o arquivo não modificado, correspondendo à assinatura que só pode ser criptograficamente produzida com o arquivo original e uma cópia da chave privada do Ubuntu.
Se você mudar para HTTPS, não poderá aproveitar os servidores proxy para acelerar o acesso ou reduzir a carga. E não acrescentaria mais nenhuma garantia de não adulteração que a verificação de assinatura da APT ainda não oferece. Isso significaria, no entanto, que os bisbilhoteiros (como o seu ISP) não poderão ver quais pacotes você está baixando (o que provavelmente não é confidencial e, como Gilles apontou, eles podem adivinhar pelo tamanho do arquivo).
apt update
e um homem no meio estão alimentando índices falsos, o apt pega o que quer que o homem do meio lhe dê e o escreve em / var / lib / apt / lists. Isso não é apenas com um homem mau no meio, mas como se você estiver no WiFi do hotel e for redirecionado para uma página de login, se você executar apt update
antes de fazer login, suas listas / var / lib / apt / serão lixeira com o HTML da página inicial do hotel. FALSO! De qualquer forma, a verificação básica do certificado TLS excluiria isso imediatamente.
As versões recentes do APT têm suporte a TLS integrado, portanto, você só precisa substituir as URLs de espelho do repositório de https
pacotes por aquelas com prefixo. Para o Debian, poderia ser assim:
deb https://deb.debian.org/debian/ stretch main
deb https://deb.debian.org/debian-security stretch/updates main
deb https://deb.debian.org/debian/ stretch-updates main
Isso é útil, embora o APT inclua seu próprio protocolo de assinatura para garantir que os pacotes não sejam violados, pois pode haver erros no APT (como houve: CVE-2016-1252 , CVE-2019-3462 ). Os protocolos HTTP / TLS e suas cifras estão sujeitos a intenso escrutínio, portanto, uma vulnerabilidade grave de dia zero é muito menos provável se você adicionar essa camada de segurança.
Eu acho que essa pergunta poderia usar uma resposta com instruções para o leigo, então…
O APT ainda não usa HTTPS por padrão nas compilações diárias do Ubuntu 19.10 (Eoan) (que ainda está em desenvolvimento). Pode-se verificar isso examinando o arquivo /etc/apt/sources.list e observando que todos os URLs de origem utilizam o esquema de URL "http:".
Para configurá-lo para usar HTTPS, pode-se seguir as seguintes instruções:
Primeiro , encontre um espelho de arquivo oficial confiável do Ubuntu que suporte HTTPS:
Por exemplo, considero a Wikimedia Foundation confiável, então visitei o http://mirrors.wikimedia.org/ubuntu/ URL de espelho e, posteriormente, mudei para https://mirrors.wikimedia.org/ubuntu/ , que resolve com êxito.
Se você usa o Firefox (67.0.4) e tem a extensão HTTPS Everywhere (2019.6.27) instalada com o recurso "Criptografar todos os sites qualificados" ativado (por meio do painel de botões da barra de ferramentas), as etapas (4) e (5) podem ser omitidas porque a extensão modificará automaticamente o URL para utilizar HTTPS, permitindo determinar mais imediatamente se a versão "https:" do URL será resolvida.
Segundo , atualize sua lista de fontes do APT:
sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup
para fazer backup da sua lista de fontes de atualização.sudo sed --in-place --regexp-extended 's http://(us\.archive\.ubuntu\.com|security\.ubuntu\.com) https://mirrors.wikimedia.org g' /etc/apt/sources.list
pela URL base do espelho do seu espelho preferido e, em seguida, execute o comando.Em terceiro lugar , você deve examinar o conteúdo do diretório /etc/apt/sources.list.d/ em busca de fontes "http:" que podem ser alteradas para "https:" depois de instalar o software fora do arquivo Ubuntu.
Por exemplo, o pacote Visual Studio Code da Microsoft adiciona um arquivo vscode.list a esse diretório que especifica um URL "http:". A simples alteração do esquema de URL de "http:" para "https:" permite atualizações por HTTPS.
Considere fazer o backup desses arquivos de origem antes de modificá-los.
Por fim , execute uma atualização para garantir que as atualizações funcionem corretamente:
sudo apt-get update
comandosudo cp /etc/apt/sources.list.backup /etc/apt/sources.list
comando.Também é importante notar que há um pacote apt-transport-https para adicionar suporte HTTPS ao APT. No entanto, este pacote é aparentemente desnecessário de acordo com a página da Web https://launchpad.net/ubuntu/eoan/+package/apt-transport-https e não é necessário desde o APT 1.5, de acordo com as informações mostradas após a execução do comando apt-cache show apt-transport-https
.