সম্প্রতি আমি আমার সংস্থার অ্যাপ্লিকেশন সংগ্রহস্থল নিয়ে বিষয়টি নিয়ে এসেছি। সমস্যাটি হ'ল আমরা যদি স্ট্যান্ডার্ড এইচটিপি পরিবহন ব্যবহার করি তবে অন্য যে কেউ সহজেই প্যাকেজ পেতে পারে। যেহেতু সংস্থাটি নিজস্ব মালিকানাধীন সফ্টওয়্যার প্যাকেজ করছে এবং এটি সবার সাথে ভাগ করে নিতে চায় না, তাই এইচটিপি পরিবহন একটি সমস্যা হয়ে দাঁড়ায়। ট্র্যাজেডি নয়, সমস্যা। প্যাকেজটিতে অ্যাক্সেস সীমাবদ্ধ করার জন্য কয়েকটি উপায় রয়েছে - ফায়ারওয়ালিং, ওয়েব-সার্ভার স্তরে অ্যাক্সেসকে সীমাবদ্ধ করে, পরিবহনের হিসাবে ssh ব্যবহার করে। এই বিষয়টিতে পঠন সহজভাবে এখানে পাওয়া যাবে: আপনার ব্যক্তিগত ডেবিয়ান সংগ্রহশালায় অ্যাক্সেসকে সীমাবদ্ধ করুন
আমাদের ক্ষেত্রে, আমরা https পরিবহন + ক্লায়েন্ট শংসাপত্রের প্রমাণীকরণ ব্যবহার করার সিদ্ধান্ত নিয়েছি। সংক্ষেপে, এটি যা লাগে তা হ'ল:
- স্ব-স্বাক্ষরিত শংসাপত্র, ক্লায়েন্ট এবং সার্ভার প্রস্তুত করুন (ইজি-আরএসএ ব্যবহার করে);
ওয়েবসভারটি কনফিগার করুন যা কেবলমাত্র https গ্রহণের জন্য ভান্ডারগুলিকে ফ্রন্ট করে; এনজিনেক্সের ক্ষেত্রে এটি দেখতে দেখতে দেখতে এটির মতো হতে পারে:
server {
listen 443;
root /path/to/public;
server_name secure_repo;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:;
ssl_prefer_server_ciphers on;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
location / {
autoindex on;
}
}
ক্লায়েন্টের শংসাপত্র, ক্লায়েন্ট কী এবং সিএ সার্টিফিকেট / etc / apt / ssl এ রাখুন এবং উবুন্টুর ক্ষেত্রে 00https ফাইলটি /etc/apt/apt.conf.d এ যুক্ত করুন:
Debug::Acquire::https "true";
Acquire::https::example.com {
Verify-Peer "true";
Verify-Host "false";
CaInfo "/etc/apt/ssl/ca.crt";
SslCert "/etc/apt/ssl/client.crt";
SslKey "/etc/apt/ssl/client.key";
};
মনে রাখবেন, আপনি যদি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করেন তবে হোস্ট যাচাইকরণটি স্যুইচ অফ করা গুরুত্বপূর্ণ: Verify-Host "false";
আপনি যদি এটি না করেন তবে আপনি একটি ত্রুটি ধরবেন:
SSL: certificate subject name (blah-blah-blah) does not match target host name 'example.com'
এবং এখানে আমরা যাচ্ছি, ভান্ডারগুলিতে আর কোনও অননুমোদিত অ্যাক্সেস নেই। সুতরাং এটি বেশ দরকারী এবং শক্তিশালী জিনিস।