কীভাবে https ব্যবহার করবেন?


51

না apt-getHTTPS বা এনক্রিপশন কোন ধরনের ব্যবহার করবেন? এটি ব্যবহারের জন্য কনফিগার করার কোনও উপায় আছে কি?


3
মনে রাখবেন যে বাগস.লানচপ্যাড.এন.বুন্টু /+সোর্স / অ্যাপট /+বগ / ১647474746767 এর মতো দুর্বলতার কারণে ... যা ইনরিলেস সাইন ইনকে আবদ্ধ করে দেয়, সম্ভবত এটি এইচটিটিপিএস কনফিগার করা ভাল ধারণা।
রইস উইলিয়ামস

হোডোস্যাপটোনটজেসটিটিএস.কম একটি ওয়েব পৃষ্ঠা যা এই প্রশ্নের সঠিকভাবে এবং বিস্তৃত উত্তর দেয়।
m.raynal

1
এটি কার্যকর হবার আরও একটি জাগতিক কারণ রয়েছে। আমি প্রায়শই একটি ভাঙ্গা "স্বচ্ছ" প্রক্সি সহ একটি ইন্টারনেট সংযোগে থাকি যা নির্দিষ্ট কিছু ডেব ডাউনলোডগুলি অবরুদ্ধ করে (তারা সম্ভবত কিছু বোকা ম্যালওয়ার ব্লকারকে ট্রিগার করে)। তবে https- র উপরে, প্রক্সিটি জানে না আমি কী ডাউনলোড করছি এবং তাই এটি হস্তক্ষেপ করে না।
নেট এল্ডারেজ

উত্তর:


53

apt-get(এবং অন্যান্য প্যাকেজ ম্যানিপুলেশন কমান্ডগুলি, যা একই এপিটি লাইব্রেরির সম্মুখ প্রান্ত) HTTP, HTTPS এবং FTP (এবং মাউন্ট করা ফাইল সিস্টেম) ব্যবহার করতে পারে। আপনি যদি এবং এর https://মধ্যে URL গুলি নির্দিষ্ট করে থাকেন তবে এপিটি এইচটিটিপিএস ব্যবহার করবে।/etc/apt/sources.list/etc/apt/sources.list.d/*

এপিটি প্যাকেজগুলির স্বাক্ষর যাচাই করে। সুতরাং আপনার কাছে এমন কোনও পরিবহণের দরকার নেই যা ডেটা প্রমাণীকরণ সরবরাহ করে। যদি কোনও আক্রমণকারী আপনার ডাউনলোড করা ফাইলগুলিকে সংশোধন করে তবে এটি লক্ষ্য করা যাবে। একটি স্বাক্ষর যাচাইকরণ ব্যবহার করা এইচটিটিপিএস সংযোগ ব্যবহার করার চেয়ে ভাল, কারণ এটি আপনি যে সার্ভার থেকে ডাউনলোড করছেন সেটি ট্রানজিটে আক্রমণ নয়, এটি আক্রমণ করবে।

আরও স্পষ্টভাবে, একটি প্যাকেজের জন্য (সরল) তথ্য প্রবাহটি নিম্নলিখিত:

  1. প্যাকেজটি একটি বিল্ড মেশিনে উত্পাদিত হয়।
  2. প্যাকেজটি বিল্ড মেশিনে স্বাক্ষরিত হয়েছে।
  3. স্বাক্ষরিত প্যাকেজটি একটি ডাউনলোডের আয়নাতে অনুলিপি করা হয়েছে।
  4. আপনি প্যাকেজটি ডাউনলোড করুন।

এইচটিটিপিএস নিশ্চিত করে যে 4 ধাপটি সঠিকভাবে ঘটে। প্যাকেজ স্বাক্ষরগুলি 2 থেকে 4 পদক্ষেপগুলি সঠিকভাবে ঘটে তা নিশ্চিত করে।

প্রকৃতপক্ষে, চতুর্থ পদক্ষেপের জন্য এইচটিটিপিএসের একটি ছোট সুবিধা রয়েছে: প্যাকেজ স্বাক্ষরগুলি কেবল প্যাকেজটি খাঁটি তা নিশ্চিত করে। চতুর্থ ধাপে আক্রমণকারী কোনও বৈধ সার্ভারের ছদ্মবেশ তৈরি করতে পারে এবং প্যাকেজের বাসি সংস্করণ সরবরাহ করতে পারে। উদাহরণস্বরূপ, আক্রমণকারী আপনাকে কোনও সুরক্ষা আপডেট ডাউনলোড করতে বাধা দিতে পারে, আপনার মেশিনে এমন দুর্বলতা কাজে লাগানোর আশায় যে আক্রমণটি যদি তা না করে তবে আপনি প্যাচ করে ফেলতেন। এটি খুব বাস্তবসম্মত পরিস্থিতি নয়, কারণ এতে সক্রিয় আক্রমণকারী প্রয়োজন (যাতে এটি আপনার ইন্টারনেট সংযোগের নিয়ন্ত্রণে থাকা কোনও ব্যক্তিরই হতে পারে), তবে নীতিগতভাবে এটি ঘটতে পারে।

এইচটিটিপিএসের অন্য সুবিধাটি হ'ল যদি আপনি আপনার নেটওয়ার্ক সংযোগে স্নুপিং করা কারও কাছ থেকে উবুন্টু প্যাকেজগুলি ডাউনলোড করছেন এমন সত্যটি গোপন করার চেষ্টা করছেন। তারপরেও, ইভাসড্রোপার দেখতে পেল যে আপনি কোন হোস্টের সাথে সংযোগ করছেন; আপনি যদি কোনও উবুন্টু আয়নাতে সংযোগ স্থাপন করেন এবং কয়েকশো মেগাবাইট ডাউনলোড করেন তবে এটি পরিষ্কার যে আপনি উবুন্টু প্যাকেজগুলি ডাউনলোড করছেন। ইভাসড্রপ্পার বেশিরভাগ ক্ষেত্রে ফাইলগুলির আকার থেকে আপনি কোন প্যাকেজগুলি ডাউনলোড করছেন তা নির্ধারণ করতে পারে। সুতরাং এইচটিটিপিএস কেবল তখনই কার্যকর হবে যদি আপনি এমন কোনও সার্ভার থেকে ডাউনলোড করেন যা একই আকারের অন্যান্য ফাইলও সরবরাহ করে - আমি তৃতীয় পক্ষের প্যাকেজগুলি ছাড়া কেবল কোনও পয়েন্ট দেখতে পাচ্ছি না, এবং কেবল খুব অস্বাভাবিক পরিস্থিতিতে।

পুনরাবৃত্তি করার জন্য: এইচটিটিপিএসের স্বাভাবিক উপকার, যা আপনি জানেন যে আপনি প্রকৃত সার্ভারের সাথে সংযুক্ত রয়েছেন, যখন আপনি উবুন্টু প্যাকেজগুলি ডাউনলোড করছেন তখন অকার্যকর। প্যাকেজগুলিতে স্বাক্ষর যাচাইকরণ এইচটিটিপিএস যা সরবরাহ করতে পারে তার চেয়ে শক্তিশালী গ্যারান্টি দেয়।


11
এটি যে কম সুরক্ষিত তা নয়, আপনি যা সুরক্ষার চেষ্টা করছেন তার সাথে এটি কম প্রাসঙ্গিক। এপিটি-র মাধ্যমে আপনার লেনদেনের বিষয়বস্তু এনক্রিপ্ট করা এতটা গুরুত্বপূর্ণ নয়, কারণ আপনি যা ডাউনলোড করছেন তা অত্যন্ত বিবাদযুক্ত: এটি ঠিক একই উবুন্টু প্যাকেজ যা প্রচুর লোকেরা ডাউনলোড করে। তবে যা গুরুত্বপূর্ণ তা হল তা নিশ্চিত করা যে আপনি যে ফাইলগুলি গ্রহণ করেন সেগুলি যাতে কোনও প্রকার ছড়িয়ে পড়ে না।
থোমাস্রুটার

3
কয়েক সপ্তাহ আগে আমি উত্সগুলি https তে পরিবর্তন করার চেষ্টা করেছি এবং এটি কেবল কার্যকর হয়নি, apt-get updateলিঙ্কগুলি অ্যাক্সেস করার চেষ্টা করার সময় ত্রুটির প্রতিবেদন করবে। পেপা সহ: একই। কেউ কি চেষ্টা করেছে?
স্ট্রাপাকোস্কি

8
এই কাজ করার জন্য সংগ্রহস্থল (আপডেট সার্ভার) অবশ্যই https / SSL সমর্থন করবে । মুখ্য archive.ubuntu.com না । কোনও সার্ভার ইউআরএলটিতে https: // উপসর্গ করে এবং আপনি ডিরেক্টরি ইত্যাদির একটি তালিকা পেয়েছেন কিনা তা দেখে আপনার ব্রাউজারটি পরীক্ষা করতে পারেন
ইশ

7
"চার ধাপে আক্রমণকারী কোনও বৈধ সার্ভারের ছদ্মবেশ তৈরি করতে পারে এবং প্যাকেজের বাসি সংস্করণ সরবরাহ করতে পারে।" প্রকৃতপক্ষে, আমরা প্যাকেজ তথ্যকে একটি মেয়াদ শেষ হওয়ার তারিখ দিয়ে এর বিরুদ্ধে সুরক্ষা দিই এপিটি এই তারিখের পরে সতর্ক করবে যে আপনার আয়না বাসি।
Tumbleweed

4
তালিকাটি উত্পন্ন এমন স্ক্রিপ্টের সাথে এইচটিটিপিএসকে সমর্থন করে এমন সমস্ত 15 মিররগুলির একটি তালিকা এখানে রয়েছে: পেস্টবিন.
com

13

এপিটি-র মাধ্যমে সাধারণত যা গুরুত্বপূর্ণ তা আপনার সংযোগটি এনক্রিপ্ট করা নয়, তবে যে ফাইলগুলি আপনি গ্রহণ করছেন তা তেমন কোনও ছলছল করা হয়নি।

এটি নিশ্চিত করতে এপিটি বিল্ট-ইন স্বাক্ষর যাচাইকরণ করেছে।

এনক্রিপশনটি আপনি কী ডাউনলোড করছেন তা দেখতে শ্রদ্ধাবোধগুলিকে আটকাতে বাধা দিতে পারে, তবে আপনি যা ডাউনলোড করছেন (এবং অনুরোধ করছেন) তা বেশ বিতর্কিত: এটি হাজার হাজার অন্যান্য উবুন্টু ব্যবহারকারী ডাউনলোড করছেন এবং ফাইলে কিছুই নেই যা ' প্রচুর সার্ভারে অবাধে উপলব্ধ। তবুও, বিশেষত আপনি যে প্যাকেজগুলি ডাউনলোড করছেন সে সম্পর্কে আপনার যদি গোপনীয়তার প্রয়োজন হয় তবে এইচটিটিপিএস ব্যবহার করা যেতে পারে (এটি আপনার উত্সগুলিতে তালিকাভুক্ত করুন list তালিকাতে)।

APT- এ অন্তর্নির্মিত স্বাক্ষর যাচাইকরণটি নিশ্চিত করবে যে আপনি যে ফাইলগুলি পেয়েছেন তাতে কোনও হস্তক্ষেপ করা হয়নি। ফাইলগুলি কোথা থেকে এসেছে তা আসলেই গুরুত্বপূর্ণ নয় এবং সার্ভারের লোড হ্রাস করতে বা আপনাকে গতি বাড়ানোর জন্য আপনার এবং সার্ভারের মধ্যে প্রক্সিগুলি বা বিপরীত প্রক্সিগুলি থাকাও সম্ভব। স্বাক্ষর যাচাইকরণটি এখনও নিশ্চিত করে যে আপনি অমার্জনিত ফাইল পেয়ে যাচ্ছেন, সেই স্বাক্ষরের সাথে মিলে যা কেবলমাত্র মূল ফাইলের সাথে ক্রিপ্টোগ্রাফিকভাবে উত্পাদিত হতে পারে এবং উবুন্টুর ব্যক্তিগত কীটির একটি অনুলিপি।

আপনি যদি এইচটিটিপিএসে স্যুইচ করেন তবে আপনি অ্যাক্সেস গতি বাড়িয়ে বা লোড কমাতে প্রক্সি সার্ভারগুলির সুবিধা নিতে পারবেন না। এবং এটি এএপিটির স্বাক্ষর যাচাইকরণ ইতিমধ্যে দেয় না তা-হস্তক্ষেপ না করা সম্পর্কে আর কোনও আশ্বাস যোগ করবে না। তবে এর অর্থ হ'ল ছদ্মবেশী (যেমন আপনার আইএসপি) আপনি কোন প্যাকেজ ডাউনলোড করছেন তা দেখতে সক্ষম হবে না (যা গোপনীয়তার সম্ভাবনা নেই, এবং গিলস উল্লেখ করেছেন যে তারা ফাইলের আকার থেকে অনুমান করতে পারে)।


3
এইচটিটিপিএস খুব বেশি গোপনীয়তা দেয় না, কারণ ফাইলগুলির আকারটি দৃশ্যমান। আসলে এইচটিটিপিএসের একটি সামান্য উপকার রয়েছে, এটি হ'ল এটি নিশ্চিত করে যে আপনার নেটওয়ার্ক সংযোগ নিয়ন্ত্রণকারী কোনও আক্রমণকারী নিঃশব্দে বাসি ডেটাতে পিছলে যেতে পারে না। এটি কিছুটা দূরের।
গিলস 'অশুচি হওয়া বন্ধ করুন'

6
ভাল দিক. "বাসি ডেটা" দ্বারা আমি অনুমান করি যে আপনি বোঝাচ্ছেন মধ্য-মধ্যবর্তী মাঝারিটি উবুন্টু আয়নাটির একটি সংস্করণ সামান্য পূর্ববর্তী সংস্করণ সমন্বিত, তবে উবুন্টু যে সময়ে স্বাক্ষর করেছিলেন তার থেকে এখনও অবরুদ্ধ।
থোমস্রুটার

5
হ্যাঁ, এটা। আমি যদি কিছুটা ঘাটতি হয় তবে তা উল্লেখ করতে দ্বিধা করবেন না - আমার মনে রাখা দরকার যে এটি উবুন্টু নয়, তথ্য সুরক্ষা নয়
গিলস 'এস-অশুভ হওয়া বন্ধ করুন'

অ্যাপে একটি বড় গর্ত বলে মনে হচ্ছে - যখন আপনি apt updateএবং মাঝখানে একজন লোক আপনাকে বোগাস সূচক খাওয়ান, তখন মধ্যবর্তী লোকটি আপনাকে যা খুশি খুশি খুশী গ্রহণ করে এবং এটি / var / lib / অ্যাপটি / তালিকাগুলিতে লিখে দেয়। এটি কেবল মাঝের কোনও দুষ্ট লোকের সাথে নয়, তবে আপনি যদি হোটেল ওয়াইফাইতে থাকেন এবং লগইন পৃষ্ঠায় পুনর্নির্দেশ করেন তবে আপনি লগ ইন করার apt updateআগে দৌড়ালে আপনার / var / lib / apt / list ট্র্যাশ হয়ে যাবে হোটেলের হোমপেজ এইচটিএমএল সহ। বাজে! যাইহোক বেসিক টিএলএস শংসাপত্রের চেকিং তাৎক্ষণিকভাবে এটিকে বাতিল করে দেয়।
মারিয়াস

@ মারিয়াস যাচাইকরণের কারণে এটি সম্ভব হবে বলে মনে করা হচ্ছে না, যা তালিকাগুলি এবং প্যাকেজগুলিও কভার করে। যদি আপনি এটি একটি স্ট্যান্ডার্ড এপটি ইনস্টলেশন সহ পুনরুত্পাদন করেন তবে আপনার এটি রক্ষণাবেক্ষণকারীকে জানাতে হবে।
থোমস্রুটার

1

সাম্প্রতিক এপিটি রিলিজগুলির মধ্যে টিএলএস সমর্থন অন্তর্নির্মিত রয়েছে, সুতরাং আপনাকে কেবল আপনার প্যাকেজ-সংগ্রহস্থল মিরর ইউআরএলগুলি- httpsপূর্বনির্ধারিতগুলির সাথে প্রতিস্থাপন করতে হবে । ডেবিয়ানদের কাছে এটি দেখতে দেখতে এটি দেখতে পারা যায়:

deb https://deb.debian.org/debian/ stretch main
deb https://deb.debian.org/debian-security stretch/updates main
deb https://deb.debian.org/debian/ stretch-updates main

এটি দরকারী, যদিও প্যাকেজগুলিতে কোনও ছলচাতুরী হয় না তা নিশ্চিত করার জন্য এপিটির নিজস্ব স্বাক্ষর প্রোটোকল অন্তর্ভুক্ত থাকে, কারণ এপিটিতে বাগ থাকতে পারে (যেমন রয়েছে: সিভিই -2016-1252 , সিভিই-2019-3462 )। এইচটিটিপি / টিএলএস প্রোটোকল এবং তাদের সিফারগুলি তীব্র তদন্তের সাপেক্ষে, তাই আপনি যদি এই স্তরটির সুরক্ষা যোগ করেন তবে একটি গুরুতর শূন্য দিনের দুর্বলতা সম্ভবত খুব কম।


উফফ, আমি এখন বুঝতে পারি এই সাইটটি জিজ্ঞাসা উবুন্টু। :) আমি উবুন্টুর জন্য অনুরূপ সিডিএন সমাধান পাইনি।
লাইফ আর্ন স্টারসেট

0

আমি মনে করি এই প্রশ্নটি সাধারণ মানুষের জন্য নির্দেশাবলী সহ একটি উত্তর ব্যবহার করতে পারে, তাই…

উবুন্টু 19.10 (ইওয়ান) (যা এখনও চলছে) দৈনিক বিল্ডগুলিতে এপিটি ডিফল্টরূপে এইচটিটিপিএস ব্যবহার করে না। কেউ /etc/apt/source.list ফাইল পরীক্ষা করে এবং উত্সের সমস্ত URL গুলি "http:" ইউআরএল স্কিমটি ব্যবহার করে তা লক্ষ করে এটি যাচাই করতে পারে।

এইচটিটিপিএস ব্যবহার করতে এটি কনফিগার করতে, নিম্নলিখিত নির্দেশাবলী অনুসরণ করতে পারেন:

প্রথমে , বিশ্বস্ত আধিকারিক উবুন্টু সংরক্ষণাগার মিরর সন্ধান করুন যা এইচটিটিপিএস সমর্থন করে:

  1. উবুন্টু ওয়েবপৃষ্ঠার জন্য অফিসিয়াল সংরক্ষণাগার মিররগুলিতে নেভিগেট করুন ।
  2. সেই ওয়েবপৃষ্ঠায় থাকা সারণীতে, আপনি যে ওয়েবসাইটগুলিকে বিশ্বাসযোগ্য বলে বিবেচনা করেন সেগুলিতে (এ) হোস্ট করা মিররগুলি সনাক্ত করুন, (খ) একটি "http:" আয়না রয়েছে এবং, বিকল্পভাবে, (সি) আপনার ভৌগলিক সান্নিধ্য, সার্ভারের গতি এবং আপডেটগুলি পূরণ করে সতেজতা পছন্দ।
  3. সেই ওয়েবপৃষ্ঠায় থাকা সারণীতে, মিররটির "HTTP:" সংস্করণটি দেখার জন্য ধাপে (2) চিহ্নিত একটি আয়নার "HTTP" লিঙ্কটি ক্লিক করুন।
  4. ব্রাউজারের অ্যাড্রেস বারে, ওয়েব পৃষ্ঠার ইউআরএলটিতে "https:" তে ম্যানুয়ালি "http:" পরিবর্তন করুন।
  5. এটি আবার সমাধান হয়েছে কিনা তা দেখতে ("https:" URL- এর মাধ্যমে) আবার আয়নাতে নেভিগেট করুন।

উদাহরণস্বরূপ, আমি উইকিমিডিয়া ফাউন্ডেশনকে বিশ্বাসযোগ্য বলে বিবেচনা করি, তাই আমি http://mirferences.wikimedia.org/ubuntu/ আয়না ইউআরএল পরিদর্শন করেছি এবং পরবর্তীকালে এটিকে https://mirferences.wikimedia.org/ubuntu/ এ পরিবর্তন করেছি , যা সফলভাবে সমাধান হয়েছে।

আপনি যদি ফায়ারফক্স (.0 67.০.৪) ব্যবহার করেন এবং এইচটিটিপিএস সর্বত্র (2019.6.27) এক্সটেনশানটি "সমস্ত সাইট এনক্রিপ্ট যোগ্য" বৈশিষ্ট্যযুক্ত (টুলবার বোতাম প্যানেলের মাধ্যমে) দিয়ে ইনস্টল করা থাকে, তবে পদক্ষেপ (4) এবং (5) বাদ দেওয়া যেতে পারে কারণ এক্সটেনশানটি স্বয়ংক্রিয়ভাবে এইচটিটিপিএস ব্যবহার করতে ইউআরএলকে সংশোধন করবে, ইউআরএলটির "https:" সংস্করণটি সমাধান হবে কিনা তা তাত্ক্ষণিকভাবে নির্ধারণ করার অনুমতি দেয়।

দুই , আপনার এপিটি উত্স তালিকা আপডেট করুন:

  1. sudo cp /etc/apt/sources.list /etc/apt/sources.list.backupআপনার আপডেট উত্স তালিকার ব্যাক আপ করতে কমান্ডটি কার্যকর করুন ।
  2. এখানে আয়নার বেস ইউআরএল প্রতিস্থাপন করুন - এখানে https://mirferences.wikimedia.org হিসাবে দেখানো হয়েছে - আপনার পছন্দের আয়নাটির sudo sed --in-place --regexp-extended 's http://(us\.archive\.ubuntu\.com|security\.ubuntu\.com) https://mirrors.wikimedia.org g' /etc/apt/sources.listআয়না বেস URL সহ কমান্ডটিতে এবং তারপরে, কমান্ডটি কার্যকর করুন।

তৃতীয়ত , উবুন্টু সংরক্ষণাগারটির বাইরে থেকে সফ্টওয়্যার ইনস্টল করার পরে আপনাকে "HTTP:" উত্সগুলির জন্য /etc/apt/sources.list.d. ডিরেক্টরি ডিরেক্টরি অন্তর্ভুক্ত করা উচিত।

উদাহরণস্বরূপ, মাইক্রোসফ্টের ভিজ্যুয়াল স্টুডিও কোড প্যাকেজ এই ডিরেক্টরিতে একটি vscode.list ফাইল যুক্ত করে যা একটি "http:" URL টি নির্দিষ্ট করে। ইউআরএল স্কিমকে "HTTP:" থেকে "https:" এ সরলভাবে পরিবর্তন করা এইচটিটিপিএসের মাধ্যমে আপডেটের অনুমতি দেয়।

এ জাতীয় যে কোনও উত্স ফাইলগুলিকে সংশোধন করার আগে তাদের ব্যাক আপ নেওয়া বিবেচনা করুন।

শেষ অবধি , আপডেটগুলি সঠিকভাবে কাজ করবে তা নিশ্চিত করার জন্য একটি আপডেট সম্পাদন করুন:

  1. সম্পাদন sudo apt-get updateকমান্ড।
  2. যদি এটি প্রত্যাশার মতো কাজ না করে, sudo cp /etc/apt/sources.list.backup /etc/apt/sources.listকমান্ডটি কার্যকর করে আপনি তৈরি করেছেন ব্যাকআপ উত্স তালিকা ফাইল (গুলি) পুনরুদ্ধার করুন ।

এটিও লক্ষণীয় যে এপিটি- তে এইচটিটিপিএস সমর্থন যুক্ত করার জন্য একটি এপেট-ট্রান্সপোর্ট-https প্যাকেজ রয়েছে। যাইহোক, এই প্যাকেজটি https://launchpad.net/ubuntu/eoan/+package/apt-transport-https ওয়েবপৃষ্ঠা অনুসারে আপাতত অপ্রয়োজনীয় এবং কমান্ডটি কার্যকর করার পরে প্রদর্শিত তথ্য অনুসারে এপিটি 1.5 এর পরে প্রয়োজন হয় নি apt-cache show apt-transport-https

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.