ডিবিয়ান এপটি সরঞ্জামটির জন্য কেন কোনও https পরিবহন নেই?

এনএসএ সংক্রান্ত সমস্ত উদ্দীপনা এবং সমস্ত কিছুর সাথে, আমি ভাবছি যে কেন ডেবিয়ান প্যাকেজ ইনস্টলেশন প্রক্রিয়া তার পরিবহণের জন্য এইচটিটিপিএস সমর্থন করে না, এটি ডিফল্টরূপে ব্যবহার করা যাক।

আমি জানি ডিবিয়ান প্যাকেজগুলির জিপিজি ব্যবহার করে কিছু প্রকার স্বাক্ষর বৈধতা রয়েছে, তবে তবুও আমি মনে করি না যে এইচটিটিপি-র পরিবর্তে এইচটিটিপিএস পরিবহন ব্যবহার করা খুব শক্ত হবে, এটি বিবেচনা করা কতটা সুরক্ষা-ভিত্তিক।

সম্পাদনা: আমি বেশিরভাগই নিজেকে এমআইটিএম আক্রমণ থেকে রক্ষা করতে চাই (কেবল ট্র্যাফিক স্নিগিং সহ), ডেবিয়ান মিরর প্রশাসক নয়। এইচটিটিপি সংগ্রহস্থলগুলি পুরো সিস্টেম সেটআপটি টেবিলের উপরে রাখে, যদি কেউ আমার ট্র্যাফিকটি ডিবিয়ান মিররগুলিতে চলে যায়।

এখানে. আপনাকে প্যাকেজ ইনস্টল করতে হবে apt-transport-https। তারপরে আপনি লাইনের মতো ব্যবহার করতে পারেন

 deb https://some.server.com/debian stable main

আপনার sources.listফাইল তবে সাধারণত এটি প্রয়োজনীয় হয় না, যেহেতু পুরো সামগ্রীটি যাইহোক জনসাধারণ এবং এটি এনক্রিপশন ওভারহেড এবং ল্যাটেন্সি যুক্ত করে। যেহেতু আপনি কোনও আক্রমণকারীদের সার্বজনীন কীতে বিশ্বাস করেন না, তাই এমনকি এইচটিপি ট্র্যাফিক এমআইটিএম আক্রমণ থেকে নিরাপদ। aptকোনও আক্রমণকারী হেরফের করা প্যাকেজগুলিতে ইনজেকশন দিলে আপনাকে সতর্ক করে এবং প্যাকেজগুলি ইনস্টল করতে ব্যর্থ হবে।

সম্পাদনা: মন্তব্যে উল্লিখিত হিসাবে এটি টিএলএস সংগ্রহস্থল ব্যবহার করা সত্যই নিরাপদ । গবেষণা দেখায় যে এনক্রিপ্ট করা সংগ্রহস্থলগুলিতে অ্যাপ্লিকেশন ব্যবহার করা প্রকৃতপক্ষে একটি সুরক্ষা ঝুঁকি তৈরি করতে পারে কারণ এইচটিটিপি পরিবহন আক্রমণ পুনরায় চালনার জন্য ঝুঁকিপূর্ণ।

আপনার অনুমানটি ভুল: আপনি এইচটিটিপিএস ডাউনলোডগুলি ব্যবহার করতে পারেন। আপনাকে কেবল একটি আয়নার সন্ধান করতে হবে যা এটি সমর্থন করে এবং এর উত্সের তালিকাটি আপনার উত্সের তালিকায় রাখবে। আপনার apt-transport-httpsপ্যাকেজ ইনস্টল করতে হবে ।

ডেবিয়ান এইচটিটিপিএস ডাউনলোডগুলি সহজ করে না কারণ খুব কম সুবিধা রয়েছে। দেবিয়ান প্যাকেজ বিতরণে প্যাকেজগুলি যাচাই করার জন্য ইতিমধ্যে একটি প্রক্রিয়া রয়েছে: সমস্ত প্যাকেজ জিপিজি-র সাথে স্বাক্ষরিত । যদি কোনও সক্রিয় ম্যান-ইন-দ্য মিডল আপনার ট্র্যাফিককে দূষিত প্যাকেজগুলির সাথে কোনও সার্ভারে পুনঃনির্দেশ করে, দুর্নীতি সনাক্ত করা হবে কারণ জিপিজি স্বাক্ষর বৈধ হবে না। এইচটিটিপিএসের চেয়ে জিপিজি ব্যবহার করার সুবিধা রয়েছে যে এটি আরও হুমকির বিরুদ্ধে সুরক্ষিত করে: কেবলমাত্র শেষ-ব্যবহারকারী সংযোগে সক্রিয় ম্যান-ইন-দ্য মিডল-এর বিরুদ্ধে নয়, প্যাকেজ বিতরণ শৃঙ্খলে যে কোনও জায়গায় দুর্বৃত্ত বা সংক্রামিত আয়না বা অন্যান্য সমস্যার বিরুদ্ধেও রয়েছে against ।

এইচটিটিপিএস একটি সামান্য গোপনীয়তার সুবিধা সরবরাহ করে যে এটি আপনার ডাউনলোড করা প্যাকেজগুলিকে অস্পষ্ট করে। তবে একজন প্যাসিভ পর্যবেক্ষক এখনও আপনার কম্পিউটার এবং একটি প্যাকেজ সার্ভারের মধ্যে ট্র্যাফিক সনাক্ত করতে পারে, তাই তারা জানতে পারে যে আপনি দেবিয়ান প্যাকেজগুলি ডাউনলোড করছেন। আপনি ফাইল আকার থেকে কোন প্যাকেজগুলি ডাউনলোড করছেন সে সম্পর্কেও তারা ভাল ধারণা পেতে পারে।

HTTPS যে এক জায়গায় সহায়তা করবে তা হ'ল বুটস্ট্র্যাপিং বিশ্বাসের জন্য, একটি পরিচিত-বৈধ ইনস্টলেশন ইমেজ পাওয়া image দেবিয়ান এটি সরবরাহ করে বলে মনে হয় না: ইনস্টলেশন মিডিয়াগুলির চেকসাম রয়েছে তবে কেবল এইচটিটিপি-র উপর রয়েছে।

সম্প্রতি আমি আমার সংস্থার অ্যাপ্লিকেশন সংগ্রহস্থল নিয়ে বিষয়টি নিয়ে এসেছি। সমস্যাটি হ'ল আমরা যদি স্ট্যান্ডার্ড এইচটিপি পরিবহন ব্যবহার করি তবে অন্য যে কেউ সহজেই প্যাকেজ পেতে পারে। যেহেতু সংস্থাটি নিজস্ব মালিকানাধীন সফ্টওয়্যার প্যাকেজ করছে এবং এটি সবার সাথে ভাগ করে নিতে চায় না, তাই এইচটিপি পরিবহন একটি সমস্যা হয়ে দাঁড়ায়। ট্র্যাজেডি নয়, সমস্যা। প্যাকেজটিতে অ্যাক্সেস সীমাবদ্ধ করার জন্য কয়েকটি উপায় রয়েছে - ফায়ারওয়ালিং, ওয়েব-সার্ভার স্তরে অ্যাক্সেসকে সীমাবদ্ধ করে, পরিবহনের হিসাবে ssh ব্যবহার করে। এই বিষয়টিতে পঠন সহজভাবে এখানে পাওয়া যাবে: আপনার ব্যক্তিগত ডেবিয়ান সংগ্রহশালায় অ্যাক্সেসকে সীমাবদ্ধ করুন

আমাদের ক্ষেত্রে, আমরা https পরিবহন + ক্লায়েন্ট শংসাপত্রের প্রমাণীকরণ ব্যবহার করার সিদ্ধান্ত নিয়েছি। সংক্ষেপে, এটি যা লাগে তা হ'ল:

1. স্ব-স্বাক্ষরিত শংসাপত্র, ক্লায়েন্ট এবং সার্ভার প্রস্তুত করুন (ইজি-আরএসএ ব্যবহার করে);

2. ওয়েবসভারটি কনফিগার করুন যা কেবলমাত্র https গ্রহণের জন্য ভান্ডারগুলিকে ফ্রন্ট করে; এনজিনেক্সের ক্ষেত্রে এটি দেখতে দেখতে দেখতে এটির মতো হতে পারে:

   server {
   
     listen 443;
   
     root /path/to/public;
     server_name secure_repo;
   
     ssl on;
     ssl_certificate /etc/nginx/ssl/server.crt;
     ssl_certificate_key /etc/nginx/ssl/server.key;
   
     ssl_session_timeout 5m;
   
     ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
     ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:;
   
     ssl_prefer_server_ciphers on;
     ssl_client_certificate /etc/nginx/ssl/ca.crt;
     ssl_verify_client on;
   
     location / {
        autoindex on;
     }
   }
   

3. ক্লায়েন্টের শংসাপত্র, ক্লায়েন্ট কী এবং সিএ সার্টিফিকেট / etc / apt / ssl এ রাখুন এবং উবুন্টুর ক্ষেত্রে 00https ফাইলটি /etc/apt/apt.conf.d এ যুক্ত করুন:

   Debug::Acquire::https "true"; Acquire::https::example.com { Verify-Peer "true"; Verify-Host "false"; CaInfo "/etc/apt/ssl/ca.crt"; SslCert "/etc/apt/ssl/client.crt"; SslKey "/etc/apt/ssl/client.key"; };

মনে রাখবেন, আপনি যদি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করেন তবে হোস্ট যাচাইকরণটি স্যুইচ অফ করা গুরুত্বপূর্ণ: Verify-Host "false";আপনি যদি এটি না করেন তবে আপনি একটি ত্রুটি ধরবেন: SSL: certificate subject name (blah-blah-blah) does not match target host name 'example.com'

এবং এখানে আমরা যাচ্ছি, ভান্ডারগুলিতে আর কোনও অননুমোদিত অ্যাক্সেস নেই। সুতরাং এটি বেশ দরকারী এবং শক্তিশালী জিনিস।

নোট করুন কারণ দুর্বলতার কারণে

https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1647467

... যা ইনরিলে সাইন ইনকে আবদ্ধ করে, এইচটিটিপিএসকে যাইহোক কনফিগার করা সম্ভবত এটি একটি ভাল ধারণা।

"অজ্ঞাতনামা" ব্যবহারের ক্ষেত্রে এটিও রয়েছে apt-transport-torযা আপনাকে tor+http://উত্স.লাইস্ট ফাইলগুলিতে ইউআরআই রাখার অনুমতি দেয় । এটি আপনার আয়নাতে সংযোগটি সহজে এনক্রিপ্ট করার চেয়ে অজ্ঞাত পরিচয়ের সুরক্ষা।

উদাহরণস্বরূপ, স্থানীয় পর্যবেক্ষক তখনও জানতে পারবেন যে আপনি এইচটিটিপিএস দিয়েও সফ্টওয়্যার আপডেট করছেন বা ইনস্টল করছেন, এবং সম্ভবত আপনি কোনটি করছেন (এবং সম্ভবত আকারের উপর ভিত্তি করে কোন প্যাকেজগুলিও রয়েছে) সে সম্পর্কে কিছুটা সঠিক অনুমান করতে পারেন।

দেবিয়ান টোর "পেঁয়াজ পরিষেবাদি" এর মাধ্যমে এপিটি সংগ্রহস্থল সরবরাহ করে যাতে আপনি ডোমেন-নাম সিস্টেমে বিশ্বাস না করেই শেষ থেকে শেষের এনক্রিপশন (টিএলএসের অনুরূপ) পেতে পারেন। এইভাবে উপলভ্য সমস্ত ডেবিয়ান পরিষেবাদির জন্য পেঁয়াজ.ডেবিয়ান.org দেখুন । প্রধান দেবিয়ান এফটিপি সংগ্রহস্থলটি এখানে রয়েছেvwakviie2ienjx6t.onion