Havuz listeleri güvenli mi? HTTPS sürümü var mı?

Havuz güncellemeleri güvenli mi?

Geliştirici tarafındaki küçük bir beyin ayı olarak, depo listesinin neden olduğunu http://security.ubuntu.comve httpiçinde listelenen diğer (güvenli olmayan) siteleri anlayamıyorum /etc/apt/sources.list. Sertifika zinciri eşleşmesi olmadan bu, "ubuntu.com sitesine sorma ..." yerine, herhangi bir yanıt verenden güncellenecek paket listesini sorma "şeklinde görünür.

Herhangi bir ağ güncelleme sitelerini dolandırmayı seçebilir mi ve bu yerel olarak önbelleğe alınmış ve onaylanmış bir kopya sağlamak için yaygın bir uygulamadır?

apt updates repository

— Charles Merriam
kaynak

Yanıtlar:

Kısacası, evet, dosyaları imzalamak için kullanılan ortak anahtar şifrelemesi nedeniyle güvendedirler.

APT tarafından indirilen tüm dosyalarda, indirilen dosyanın bilgisayarınızda (Ubuntu ve yalnızca Ubuntu tarafından imzalanmış olarak depolanan ortak anahtarlarla doğrulanmasına izin veren bir imza bulunur. Bu, aldığınız dosyanın bir aşamada Ubuntu tarafından yetkilendirildiğini ve o zamandan beri değiştirilmediğini veya tahrif edilmediğini doğrular.

Bunun nasıl çalıştığının teknik bir açıklaması Ubuntu'dan (ve aynı sistemi kullanan Debian'dan ).

HTTPS yerine HTTP kullanımı nedeniyle, dinleyenler hangi dosyaları indirdiğinizi görebiliyordu, ancak bu durumda gizliliğiniz sizin için endişelenmiyor. Paketleri zararlı kodları enjekte etmek için değiştirmeye çalışan ortadaki bir adam hala başarısız olur çünkü imzalama mekanizmasını kıracaktır.

Bu imzalama mekanizmasındaki olası bir sonuç, paketin en güncel sürümünü aldığınızı garanti etmemesidir (aslında, aynaların güncellenmesi yavaş olabilir). Bu sorunun hafifletilmesine yardımcı olmak için, imzalı sürüm dosyası, başvurduğu tüm dosyaların eski olarak kabul edilmesi gereken "Geçerli-Kadar" tarihini içerir. Ortadaki bir erkeğin, bu geçerli tarihe kadar arşivin değiştirilmemiş önceki bir sürümüyle bir arşivi değiştirmesi ve APT'nizin güncelleme olmadığına inanmasına neden olması makul olacaktır. Ancak paketlerde herhangi bir keyfi değişiklik yapamazlar ya da belirli bir noktadan zamanda geriye gidemezlerdi.

İmzalama mekanizmaları, dosyaların Ubuntu tarafından kontrol edilmeyen birçok sunucu üzerinden yansıtıldığı bu tür dağıtılmış ortamda HTTPS'den çok daha iyi güvenlik sağlar. Özünde, yalnızca aynaya değil Ubuntu'ya güvenmeniz gerekir, bu nedenle dosyaların orijinalinin Ubuntu'dan geldiğini ve değiştirilmediğini kanıtlamanız gerekir - aynanın kimliğini doğrulamanız gerekmez.

PPA gibi kaynaklar listenize resmi olmayan bir depo eklediğinizde, Ubuntu tarafından imzalanmayan dosyaları alacağınızı unutmayın. APT sizi bu konuda uyarmalı, çünkü bilgisayarınızda yüklü olan herkese açık anahtarlardan herhangi biri ile eşleşen Ubuntu tarafından yetkilendirilen bir sertifika ile imzalanmadı.

— thomasrutter
kaynak

Harika! Bu nedenle kısa versiyon "taşıma katmanı güvenli değil, ancak her paket imzalandı. Mevcut güncellemeler için güvenli bir güncelleme listesi bulunmuyor ve mevcut güvenlik sorunlarına yönelik düzeltme ekleri sunulması garanti edilmiyor."

— Charles Merriam,

Emin değilim derken ne demek istediğine ancak serbest bırakma dosyası ve paket listeleri "mevcut güncellemeleri hiçbir güvenli bir liste yoktur" vardır imzaladı. Aynanın aynanın güncel olduğunu doğrulamaması.

— thomasrutter

Er, bir aynanın veya ana sitenin güncel olduğunu doğrulamanın bir yolu yoksa, güncellemeler olup olmadığını, güvenlik güncellemeleri olup olmadığını bilmek için bir yol yoktur. Yani, mevcut güncellemelerin güvenli bir listesi yoktur.

— Charles Merriam,

Alice Ubuntu'yu yönetiyor. Bob, Alice'in İnternet bağlantısını kontrol ediyor. Bob, Alice'in kurulumuna kötü bir paket koyamaz çünkü her paket imzalanmıştır. Ubuntu'da bulunan çok büyük bir güvenlik açığı var. Alice güncellenmiş paketi bulmaya çalışır, ancak Bob paketin tüm sözlerini Alice'in güncelleme kontrolünden kaldırır. Alice bir sysadmin'i vurur ve ardından ubuntu.com adresinden HTTPS üzerinden güncelleme kontrolünü çeker ve güvenli bir bağlantı üzerinden gerçek web sitesine bağlandığını doğrular. Şimdi Alice güvenlik güncellemesini görüyor ve Bob gizleyemiyor.

— Charles Merriam,

Bu elbette doğru cevap. Ama garip bulduğum şey, hiç kimsenin, güncellemiş olduğunuz ve hangilerinin henüz bilmediği, saldırıya uğradıklarını bilmek amacıyla, kurduğunuz tüm paketlerin bir listesini derleyen bir gizlice dinleme konusunda endişeli görünüyor. bu paketlerdeki güvenlik açıkları.

— Teekin

Buradaki en çok oy alan cevap açıkça modası geçmiş. O zamandan beri, buggy paket doğrulaması nedeniyle apt’de bulunan 2 ciddi uzaktan kod çalıştırma açığı oldu. Burada ve burada güvenlik bültenleri .

Bu, gizlilik / bilgi sızıntısı ve eski paket sürümü hakkındaki endişelerden çok daha kötü; Bu, root olarak rasgele kod çalıştırma sağlar, tam güvenlik hatası. Ve olay şu ki: http yerine https kullanılırsa, bu saldırılar önlenebilirdi.

Bu , derinlemesine savunma ilkesinin burada herhangi bir yerde olduğu kadar geçerli olduğunu kanıtlar . Bu https etrafında yüzen pek çok iddia apt veya bağlamında hiçbir güvenlik avantajı sağlar veya bu istismarlar tarafından gösterildiği gibi yanlıştır.

Ardından soru, https’in güvenlik avantajı, önbellekleme, artan genel gider vb. Açısından maliyete değiyorsa olur. Buna cevap veremem, ama en azından Ubuntu / Canonical / Launchpad’in depoları için isteğe bağlı https bitiş noktaları sağlaması gerektiğini düşünüyorum. .

— Niklas Holm
kaynak

Güvenlik aynı zamanda gizlilikle de ilgilidir ve HTTPS, en azından hangi paketleri ve sürümleri çalıştırdığınızı bulmak için çok daha fazla zaman alacağınız anlamına gelir.

— l0b0

Yine de apt'nin bununla problemleri olmadığı sürece, http iyi. Bununla birlikte, https gpg güvenliğinin (veya onu nasıl daha doğru kullandığı) karışması durumunda yedekleme yapar.

— RoundDuckMan

Önemli ek ： aslında, yükseltme ve ilk kurulum çevrimiçi olarak indirilirken, çok fazla trafik alıyor ve bu trafiğin kaynağı olan ikili ve metin kodu akışları yeniden üretilebiliyor. Bu nedenle, İnternet üzerinde bunun için çok sayıda ağ geçidi ve önbellek aygıtı var. Önemli sayıda ISS, dışa aktarma bant genişliğini korumak için http protokolünü temel alan önbellek kurdular ve https protokolü saydam bir önbellek olarak mevcut olamaz.

Başka bir neden, http tabanlı yansıtma programının daha basit olması, tls-ssl sertifikasını doğrulamanıza gerek kalmaması ve sertifika geçersiz kılma veya web sunucusu yapılandırma sorunları için de endişelenmenize gerek olmamasıdır.

Çok uzun zaman önce, yaklaşık 20 yıl, İnternet başında, https ve İnternet trafiği hala çok pahalı oyunlardı. Bu nedenle, http ayrıca, çevrimiçi yazılım paketleri dağıtımı için yükleme ve güncelleme sağlama yolunun kullanılmaması olan ftp protokolünü de içeriyordu.

Benzer şekilde, Microsoft Windows ve Office de http kullanılarak yükseltilir. Bunun genellikle Microsoft'un sunucusundan indirilen yükleme paketi değil, ISS'nizin kendi kendine oluşturduğu önbellek sunucusudur.

— JZ
kaynak