ডিবিয়ান এপটি সরঞ্জামটির জন্য কেন কোনও https পরিবহন নেই?


45

এনএসএ সংক্রান্ত সমস্ত উদ্দীপনা এবং সমস্ত কিছুর সাথে, আমি ভাবছি যে কেন ডেবিয়ান প্যাকেজ ইনস্টলেশন প্রক্রিয়া তার পরিবহণের জন্য এইচটিটিপিএস সমর্থন করে না, এটি ডিফল্টরূপে ব্যবহার করা যাক।

আমি জানি ডিবিয়ান প্যাকেজগুলির জিপিজি ব্যবহার করে কিছু প্রকার স্বাক্ষর বৈধতা রয়েছে, তবে তবুও আমি মনে করি না যে এইচটিটিপি-র পরিবর্তে এইচটিটিপিএস পরিবহন ব্যবহার করা খুব শক্ত হবে, এটি বিবেচনা করা কতটা সুরক্ষা-ভিত্তিক।

সম্পাদনা: আমি বেশিরভাগই নিজেকে এমআইটিএম আক্রমণ থেকে রক্ষা করতে চাই (কেবল ট্র্যাফিক স্নিগিং সহ), ডেবিয়ান মিরর প্রশাসক নয়। এইচটিটিপি সংগ্রহস্থলগুলি পুরো সিস্টেম সেটআপটি টেবিলের উপরে রাখে, যদি কেউ আমার ট্র্যাফিকটি ডিবিয়ান মিররগুলিতে চলে যায়।



প্রয়োজন নেই ... এটি সর্বজনীন বিষয়বস্তু ... প্যাকেজগুলি চেকসামগুলিতে স্বাক্ষর করেছে
স্কেপেইরেন

ঠিক আছে তাই আপনি কোন নেটওয়ার্ক প্যাকেজগুলি ইনস্টল / আপগ্রেড করেছেন তা আপনার নেটওয়ার্ক প্রশাসককে না জানাতে চান।
স্কেপেরেন

প্রশাসক বা অন্য কোনও শ্রেনীর সংঘর্ষ।
জাডেহে

উত্তর:


49

এখানে. আপনাকে প্যাকেজ ইনস্টল করতে হবে apt-transport-https। তারপরে আপনি লাইনের মতো ব্যবহার করতে পারেন

 deb https://some.server.com/debian stable main

আপনার sources.listফাইল তবে সাধারণত এটি প্রয়োজনীয় হয় না, যেহেতু পুরো সামগ্রীটি যাইহোক জনসাধারণ এবং এটি এনক্রিপশন ওভারহেড এবং ল্যাটেন্সি যুক্ত করে। যেহেতু আপনি কোনও আক্রমণকারীদের সার্বজনীন কীতে বিশ্বাস করেন না, তাই এমনকি এইচটিপি ট্র্যাফিক এমআইটিএম আক্রমণ থেকে নিরাপদ। aptকোনও আক্রমণকারী হেরফের করা প্যাকেজগুলিতে ইনজেকশন দিলে আপনাকে সতর্ক করে এবং প্যাকেজগুলি ইনস্টল করতে ব্যর্থ হবে।

সম্পাদনা: মন্তব্যে উল্লিখিত হিসাবে এটি টিএলএস সংগ্রহস্থল ব্যবহার করা সত্যই নিরাপদ । গবেষণা দেখায় যে এনক্রিপ্ট করা সংগ্রহস্থলগুলিতে অ্যাপ্লিকেশন ব্যবহার করা প্রকৃতপক্ষে একটি সুরক্ষা ঝুঁকি তৈরি করতে পারে কারণ এইচটিটিপি পরিবহন আক্রমণ পুনরায় চালনার জন্য ঝুঁকিপূর্ণ।


7
না, বেশিরভাগ আয়না https সমর্থন করে না। কেবল কারণ এটি এ জাতীয় ট্র্যাফিক এনক্রিপ্ট করতে খুব বেশি অর্থ দেয় না। প্যাকেজগুলি যাইহোক যাচাই করা হচ্ছে এবং তথ্যটি সর্বজনীন।
মার্কো

4
আমি এখনও কয়েকটি টিএলএস-এর মাধ্যমে ডাউনলোড করতে পছন্দ করতে পারি তার কয়েকটি কারণ সম্পর্কে আমি ভাবতে পারি: ১) প্যাকেজ ইনস্টল করার সময় আমি আমার গোপনীয়তা সম্পর্কে যত্নশীল হতে পারি এবং ২) প্যাকেজ স্বাক্ষর যাচাইকরণ কোডে কোনও বাগ থাকতে পারে, যা কোনও এমআইটিএম শোষণ করতে পারে।
জ্যাক ও'কনোর

2
@ জ্যাকও'কনর, যদিও গোপনীয়তা সম্পর্কে প্রথম আপত্তিটি বোধগম্য, দ্বিতীয়টি হ'ল আমি ওয়েবসাইটগুলি পিজিপি কীগুলির সাথে তাদের বিষয়বস্তুতে স্বাক্ষর করতে পছন্দ করি কারণ টিএলএস কোডে বাগ থাকতে পারে। পিজিপি এবং টিএলএস উভয়ই বিশ্বাস প্রতিষ্ঠা করে; তার জন্য আপনার দুজনেরই দরকার নেই।
পল ড্রাগার

7
@ মার্কো আপনার উত্তরটি ভুল; জিপিজি স্বাক্ষর সহ এমনকি এইচপিটিপি-র মাধ্যমে ভান্ডারগুলি অ্যাক্সেস করা হলে অসংখ্য গবেষণা পত্রগুলি এপিটি এবং ইউইউএম উভয় সংগ্রহস্থলকে রিপ্লে আক্রমণে ঝুঁকিপূর্ণ বলে দেখায়। সংগ্রহস্থলগুলি কেবলমাত্র টিএলএস এর মাধ্যমে 100% সময়ের মধ্যে অ্যাক্সেস করা উচিত।
জো দামাতো

6
এখানে তার উত্তর দেখার - কাগজ @Joe Damato বোঝায় এখানে
SauceCode

17

আপনার অনুমানটি ভুল: আপনি এইচটিটিপিএস ডাউনলোডগুলি ব্যবহার করতে পারেন। আপনাকে কেবল একটি আয়নার সন্ধান করতে হবে যা এটি সমর্থন করে এবং এর উত্সের তালিকাটি আপনার উত্সের তালিকায় রাখবে। আপনার apt-transport-httpsপ্যাকেজ ইনস্টল করতে হবে ।

ডেবিয়ান এইচটিটিপিএস ডাউনলোডগুলি সহজ করে না কারণ খুব কম সুবিধা রয়েছে। দেবিয়ান প্যাকেজ বিতরণে প্যাকেজগুলি যাচাই করার জন্য ইতিমধ্যে একটি প্রক্রিয়া রয়েছে: সমস্ত প্যাকেজ জিপিজি-র সাথে স্বাক্ষরিত । যদি কোনও সক্রিয় ম্যান-ইন-দ্য মিডল আপনার ট্র্যাফিককে দূষিত প্যাকেজগুলির সাথে কোনও সার্ভারে পুনঃনির্দেশ করে, দুর্নীতি সনাক্ত করা হবে কারণ জিপিজি স্বাক্ষর বৈধ হবে না। এইচটিটিপিএসের চেয়ে জিপিজি ব্যবহার করার সুবিধা রয়েছে যে এটি আরও হুমকির বিরুদ্ধে সুরক্ষিত করে: কেবলমাত্র শেষ-ব্যবহারকারী সংযোগে সক্রিয় ম্যান-ইন-দ্য মিডল-এর বিরুদ্ধে নয়, প্যাকেজ বিতরণ শৃঙ্খলে যে কোনও জায়গায় দুর্বৃত্ত বা সংক্রামিত আয়না বা অন্যান্য সমস্যার বিরুদ্ধেও রয়েছে against ।

এইচটিটিপিএস একটি সামান্য গোপনীয়তার সুবিধা সরবরাহ করে যে এটি আপনার ডাউনলোড করা প্যাকেজগুলিকে অস্পষ্ট করে। তবে একজন প্যাসিভ পর্যবেক্ষক এখনও আপনার কম্পিউটার এবং একটি প্যাকেজ সার্ভারের মধ্যে ট্র্যাফিক সনাক্ত করতে পারে, তাই তারা জানতে পারে যে আপনি দেবিয়ান প্যাকেজগুলি ডাউনলোড করছেন। আপনি ফাইল আকার থেকে কোন প্যাকেজগুলি ডাউনলোড করছেন সে সম্পর্কেও তারা ভাল ধারণা পেতে পারে।

HTTPS যে এক জায়গায় সহায়তা করবে তা হ'ল বুটস্ট্র্যাপিং বিশ্বাসের জন্য, একটি পরিচিত-বৈধ ইনস্টলেশন ইমেজ পাওয়া image দেবিয়ান এটি সরবরাহ করে বলে মনে হয় না: ইনস্টলেশন মিডিয়াগুলির চেকসাম রয়েছে তবে কেবল এইচটিটিপি-র উপর রয়েছে।


ইনস্টলেশন মিডিয়ার এইচটিটিপিএস সংস্করণ রয়েছে: cdimage.debian.org/debian-cd
ফেদির RYKHTIK

2
খুব অল্প সুবিধা? Justti.cz/security/2019/01/22/apt-rce.html সম্পর্কে কী ?
অ্যারন ফ্র্যাঙ্ক

@ অ্যারোনফ্র্যাঙ্ক একটি নির্দিষ্ট বাগ যা এইচটিটিপিএসের চেয়ে এইচটিটিপিএসের সাথে ব্যবহার করা সহজ, খুব কম সুবিধা বলে গণ্য হয়েছে। এটি এইচটিটিপিএসের চেয়ে এইচটিটিপি-র বৃহত আক্রমণ পৃষ্ঠের মতো নয়: প্রকৃতপক্ষে এইচটিটিপিএসের একটি বড় আক্রমণ পৃষ্ঠ রয়েছে কারণ এতে আরও কোড জড়িত। সুতরাং এটি মোটেও নেট সুবিধা নয়: এটি দুটি প্রান্তিক ঝুঁকির মধ্যে বাণিজ্য-
9-10 এ গিলস 'অসন্তুষ্ট হওয়া বন্ধ করুন'

9

সম্প্রতি আমি আমার সংস্থার অ্যাপ্লিকেশন সংগ্রহস্থল নিয়ে বিষয়টি নিয়ে এসেছি। সমস্যাটি হ'ল আমরা যদি স্ট্যান্ডার্ড এইচটিপি পরিবহন ব্যবহার করি তবে অন্য যে কেউ সহজেই প্যাকেজ পেতে পারে। যেহেতু সংস্থাটি নিজস্ব মালিকানাধীন সফ্টওয়্যার প্যাকেজ করছে এবং এটি সবার সাথে ভাগ করে নিতে চায় না, তাই এইচটিপি পরিবহন একটি সমস্যা হয়ে দাঁড়ায়। ট্র্যাজেডি নয়, সমস্যা। প্যাকেজটিতে অ্যাক্সেস সীমাবদ্ধ করার জন্য কয়েকটি উপায় রয়েছে - ফায়ারওয়ালিং, ওয়েব-সার্ভার স্তরে অ্যাক্সেসকে সীমাবদ্ধ করে, পরিবহনের হিসাবে ssh ব্যবহার করে। এই বিষয়টিতে পঠন সহজভাবে এখানে পাওয়া যাবে: আপনার ব্যক্তিগত ডেবিয়ান সংগ্রহশালায় অ্যাক্সেসকে সীমাবদ্ধ করুন

আমাদের ক্ষেত্রে, আমরা https পরিবহন + ক্লায়েন্ট শংসাপত্রের প্রমাণীকরণ ব্যবহার করার সিদ্ধান্ত নিয়েছি। সংক্ষেপে, এটি যা লাগে তা হ'ল:

  1. স্ব-স্বাক্ষরিত শংসাপত্র, ক্লায়েন্ট এবং সার্ভার প্রস্তুত করুন (ইজি-আরএসএ ব্যবহার করে);
  2. ওয়েবসভারটি কনফিগার করুন যা কেবলমাত্র https গ্রহণের জন্য ভান্ডারগুলিকে ফ্রন্ট করে; এনজিনেক্সের ক্ষেত্রে এটি দেখতে দেখতে দেখতে এটির মতো হতে পারে:

    server {
    
      listen 443;
    
      root /path/to/public;
      server_name secure_repo;
    
      ssl on;
      ssl_certificate /etc/nginx/ssl/server.crt;
      ssl_certificate_key /etc/nginx/ssl/server.key;
    
      ssl_session_timeout 5m;
    
      ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
      ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:;
    
      ssl_prefer_server_ciphers on;
      ssl_client_certificate /etc/nginx/ssl/ca.crt;
      ssl_verify_client on;
    
      location / {
         autoindex on;
      }
    }
    
  3. ক্লায়েন্টের শংসাপত্র, ক্লায়েন্ট কী এবং সিএ সার্টিফিকেট / etc / apt / ssl এ রাখুন এবং উবুন্টুর ক্ষেত্রে 00https ফাইলটি /etc/apt/apt.conf.d এ যুক্ত করুন:

    Debug::Acquire::https "true"; Acquire::https::example.com { Verify-Peer "true"; Verify-Host "false"; CaInfo "/etc/apt/ssl/ca.crt"; SslCert "/etc/apt/ssl/client.crt"; SslKey "/etc/apt/ssl/client.key"; };

মনে রাখবেন, আপনি যদি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করেন তবে হোস্ট যাচাইকরণটি স্যুইচ অফ করা গুরুত্বপূর্ণ: Verify-Host "false";আপনি যদি এটি না করেন তবে আপনি একটি ত্রুটি ধরবেন: SSL: certificate subject name (blah-blah-blah) does not match target host name 'example.com'

এবং এখানে আমরা যাচ্ছি, ভান্ডারগুলিতে আর কোনও অননুমোদিত অ্যাক্সেস নেই। সুতরাং এটি বেশ দরকারী এবং শক্তিশালী জিনিস।


3
দুর্দান্ত উত্তরের জন্য ধন্যবাদ। তবে আমি মনে করি মূল বিষয়টি এখনও আছে। বিশেষত ওয়েব এবং ডেবিয়ান প্যাকেজগুলির মাধ্যমে স্থানান্তরগুলির জন্য এইচটিটিপিএস সত্যই ডিফল্ট প্রোটোকল হওয়া উচিত। যুক্তিটি এইচটিটিপিএসের হওয়া উচিত নয় কেন এটি হওয়া উচিত?
zaadeh

1
@ আালিজাদেহ, আমি আপনার সাথে একমত, https ব্যবহার করার সময় ওভারহেড থাকে তবে কোনও বিশাল ওভারহেড নেই। আমি মনে করি, https কোনও ডিফল্ট পরিবহন না হওয়ার মূল কারণ হ'ল কিছু সংস্থা স্পষ্টভাবে কোনও এনক্রিপ্ট করা ট্র্যাফিককে নিষিদ্ধ করে (যেহেতু তারা ইন্টারনেটের মাধ্যমে কর্মচারীরা যা করছে তাতে তাদের নাক আটকে রাখতে সক্ষম হতে পারে), যার অর্থ সংগ্রহস্থলগুলিকে সমর্থন করতে হবে উভয়ই http এবং https পরিবহন করে। অন্যান্য বিবেচনা হতে পারে
at0 এস

1
স্ব-স্বাক্ষরিত শংসাপত্রগুলি সহ »যাচাই-হোস্ট" মিথ্যা "; Using ব্যবহার করা ভুল। পরিবর্তে আপনার ক্লায়েন্টদের (সঠিক) সার্ভার শংসাপত্র সম্পর্কে সচেতন করা দরকার।
অ্যাক্সেল বেকার্ট

1
আসলে, তবে এখানে আমার ক্লায়েন্টগুলি কেবল অভ্যন্তরীণ সিস্টেম ছিল। সুতরাং সমস্ত যথাযথ pki অবকাঠামো তৈরির পরিবর্তে কোণটি কেটে ফেললাম। এবং হ্যাঁ, পরবর্তীতে পিকি সঠিকভাবে নিষ্পত্তি হয়েছিল এবং ভেরিফাই-হোস্টটি মিথ্যা; অপসারণ করা হয়েছিল। এবং হ্যাঁ, পয়েন্টটি বৈধ।
at0S

1
উবুন্টু জেনিয়ালের সাহায্যে অ্যাপটি প্যাকেজগুলি অননুমোদিত ব্যবহারকারী _আপ্ট হিসাবে আনা হয়েছে, আপনি কীভাবে ফাইল অনুমতি সংক্রান্ত সমস্যাগুলি পরিচালনা করেছেন বা সমাধান করেছেন সে সম্পর্কে বিশদ সহ এই থ্রেডটি আপডেট করতে পারেন।
ডেভিড

7

নোট করুন কারণ দুর্বলতার কারণে

https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1647467

... যা ইনরিলে সাইন ইনকে আবদ্ধ করে, এইচটিটিপিএসকে যাইহোক কনফিগার করা সম্ভবত এটি একটি ভাল ধারণা।


1
আর এখন ভাল হিসাবে এই এক: mirror.fail ওরফে usn.ubuntu.com/3746-1 ওরফে জন্য CVE-2018-0501। ইনরিলেজ সাইন ইন যথেষ্ট নয় । "তবে সমস্ত আয়না এইচটিটিপিএসে স্থানান্তর করতে সময় এবং সমন্বয় লাগবে!"! হ্যাঁ. এখুনি শুরু করুন. এটি শেষ ইনরিলেস ব্যর্থতা হবে না।
রইস উইলিয়ামস

1
আলাদা ইকোসিস্টেমের - আলপাইন থেকে এখানে আরও একটি উদাহরণ। এর প্যাকেজ ম্যানেজমেন্ট সিস্টেমটি ডিফল্টরূপে এইচটিটিপিএস ব্যবহার করে না, এবং কেবলমাত্র প্যাকেজ অখণ্ডতা যাচাই করতে স্বাক্ষর করার উপর নির্ভর করে ... এবং সেই যাচাইকরণে সেপ্টেম্বর 2018 এ দূরবর্তীভাবে ব্যবহারযোগ্য বাগ ছিল: জাস্টি.সি.সি. / সুরক্ষা / ২০১৮ / ১৩ / পালাইন- apk-rce.html আলপাইন ডিফল্টরূপে এইচটিটিপিএস ব্যবহার করতে এখনই চলতে শুরু করবে ।
রইস উইলিয়ামস

4

"অজ্ঞাতনামা" ব্যবহারের ক্ষেত্রে এটিও রয়েছে apt-transport-torযা আপনাকে tor+http://উত্স.লাইস্ট ফাইলগুলিতে ইউআরআই রাখার অনুমতি দেয় । এটি আপনার আয়নাতে সংযোগটি সহজে এনক্রিপ্ট করার চেয়ে অজ্ঞাত পরিচয়ের সুরক্ষা।

উদাহরণস্বরূপ, স্থানীয় পর্যবেক্ষক তখনও জানতে পারবেন যে আপনি এইচটিটিপিএস দিয়েও সফ্টওয়্যার আপডেট করছেন বা ইনস্টল করছেন, এবং সম্ভবত আপনি কোনটি করছেন (এবং সম্ভবত আকারের উপর ভিত্তি করে কোন প্যাকেজগুলিও রয়েছে) সে সম্পর্কে কিছুটা সঠিক অনুমান করতে পারেন।

দেবিয়ান টোর "পেঁয়াজ পরিষেবাদি" এর মাধ্যমে এপিটি সংগ্রহস্থল সরবরাহ করে যাতে আপনি ডোমেন-নাম সিস্টেমে বিশ্বাস না করেই শেষ থেকে শেষের এনক্রিপশন (টিএলএসের অনুরূপ) পেতে পারেন। এইভাবে উপলভ্য সমস্ত ডেবিয়ান পরিষেবাদির জন্য পেঁয়াজ.ডেবিয়ান.org দেখুন । প্রধান দেবিয়ান এফটিপি সংগ্রহস্থলটি এখানে রয়েছেvwakviie2ienjx6t.onion

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.