บรรจวบ เข้าสู่ระบบ
Score:28
SydMK avatar Server

เหตุใด CentOS จึงมิเรอร์ HTTP ไม่ใช่ HTTPS

ธง us
SydMK

เท่าที่ฉันรู้ HTTP มีแนวโน้มที่จะ การโจมตีจากคนตรงกลาง. ดังนั้นที่เก็บใน อัลไพน์ลินุกซ์ หรือ เซ็นโอเอส มิเรอร์ไม่ใช่ HTTPS

ในสมัยก่อน การมี HTTPS เป็นเรื่องที่มีราคาแพง มันเสียเวลา CPU ของเซิร์ฟเวอร์และใบรับรองไม่ฟรี แต่ตอนนี้เป็นปี 2022 แล้ว และเรามีวิธีมากมายที่จะเอาชนะปัญหาเหล่านั้น และความปลอดภัยก็มีความสำคัญสูงสุดกว่าที่เคย!

เราจะได้รับไบนารีอย่างชาญฉลาดได้อย่างไร

นี่เป็นปัญหาในชุมชน Linux ที่กว้างขึ้นหรือไม่ เช่น., อูบุนตู, ลินุกซ์ มิ้นท์, openSUSEฯลฯ?

4675
0 + 0
dave_thompson_085 avatar
jp flag
dave_thompson_085
ดู https://security.stackexchange.com/questions/18853/why-arent-application-downloads-routinely-done-over-https
2
ตอบกลับ
ad flag
Randall
มิเรอร์ CentOS จำนวนมากเป็น *ทั้ง* HTTP และ HTTPS (และมิเรอร์ CentOS 9 Stream ทั้งหมดเป็นทั้งคู่) ดังนั้นเพียงเลือก HTTPS อันที่จะใช้
2
ตอบกลับ
MonkeyZeus avatar
in flag
MonkeyZeus
หากมิเรอร์ต้องการข้อมูลประจำตัวผ่าน HTTP และคุณปฏิบัติตามและ/หรือคุณไม่ได้ยืนยันการตรวจสอบหลังจากดาวน์โหลด คุณอาจไม่ใช่กลุ่มเป้าหมายสำหรับ CentOS
0
ตอบกลับ
cn flag
AndreKR
@Randall เนื่องจาก OP กล่าวถึง Ubuntu ด้วยเช่นกัน มิเรอร์ Ubuntu จำนวนมากจึงน่าเสียดายที่ HTTP เท่านั้น ฉันใช้ไม่ได้เพราะ ISP ของฉันรันไวรัส (ตั้งใจดี?) สแกนทราฟฟิก HTTP ทั้งหมด และมักจะบล็อกแพ็กเกจบางอย่างว่าเป็นค่าบวกเท็จ
0
ตอบกลับ
Score:35
avatar Server
ธง in
Virsacer

หีบห่อมีการเซ็นชื่อจริง ๆ ดังนั้นการยักย้ายจะสังเกตเห็นได้

ยังไม่ได้แพ็คเกจ ความลับดังนั้นจึงไม่จำเป็นต้องเข้ารหัสบน โอนย้าย.

ด้วยการดาวน์โหลดจำนวนมากจากมิเรอร์ นี่อาจช่วยประหยัดทรัพยากรได้มาก

มันเหมือนกันบน เดเบียน และอูบุนตู

0 + 0
tr flag
Andrew Savinykh
เป็นที่น่าสงสัยว่า "สิ่งนี้อาจช่วยประหยัดทรัพยากรได้มาก" https://istlsfastyet.com/
13
ตอบกลับ
dave_thompson_085 avatar
jp flag
dave_thompson_085
นอกจากนี้ สำหรับผู้ใช้ใน (และใช้เครือข่ายของ) ธุรกิจ โรงเรียน หรือองค์กรอื่นๆ ที่ตรวจสอบทราฟฟิกเครือข่าย การตรวจสอบดังกล่าวมีความโปร่งใสสำหรับ HTTP แต่ HTTPS จะต้องถอดรหัส จากนั้นจึงเข้ารหัสอีกครั้งด้วยใบรับรองอื่น ซึ่งซอฟต์แวร์ไคลเอนต์อาจไม่ได้ ทำให้การบำรุงรักษาระบบล้มเหลว ซึ่งโดยทั่วไปแล้วไม่ดี
1
ตอบกลับ
et flag
Moo
การวิเคราะห์ทราฟฟิกเป็นเครื่องมือที่ดีในการค้นหาว่าเซิร์ฟเวอร์กำลังติดตั้งอะไรอยู่ และด้วยเหตุนี้จึงดึงเอาแพ็คเกจที่อาจมีความเสี่ยงได้ ดังนั้นฉันจึงไม่เห็นด้วยกับคำยืนยันของคุณที่ว่า “แพ็คเกจไม่เป็นความลับ ดังนั้นจึงไม่จำเป็นต้องเข้ารหัส”
11
ตอบกลับ
SydMK avatar
us flag
SydMK
ขอบคุณ @Virsacer และบรรณาธิการคำถามและคำตอบทั้งหมด คำชี้แจงเพิ่มเติมเกี่ยวกับคำตอบ: เป็นไปได้ไหมที่จะตรวจสอบความสมบูรณ์ของแพ็คเกจด้วยตนเอง? ในมุมมองของฉัน แพ็คเกจและแฮชสามารถเปลี่ยนแปลงได้ผ่านชายคนหนึ่งในการโจมตีระดับกลาง นอกจากนี้ ระบบปฏิบัติการจะตรวจสอบลายเซ็นโดยอัตโนมัติระหว่างการติดตั้งหรือไม่
0
ตอบกลับ
au flag
Jon Bentley
@SydMK หากการส่งสัญญาณได้รับการลงนาม และผู้โจมตีไม่มีสำเนาของรหัสส่วนตัวของผู้ส่ง และคุณมีสำเนาของรหัสสาธารณะของผู้ส่ง (ไม่ถูกแก้ไข) ดังนั้น ผู้โจมตีจะไม่สามารถลงนามการส่งสัญญาณได้ มีการเปลี่ยนแปลงผ่าน MiTM ดังนั้น คุณจะสามารถตรวจพบการเปลี่ยนแปลงดังกล่าวได้โดยใช้รหัสสาธารณะของผู้ส่งเพื่อดูว่าเป็นผู้ลงนามหรือไม่
0
ตอบกลับ
my flag
Aron
@AndrewSavinykh AES เวลา CPU ไม่ใช่สิ่งเดียวที่เพิ่มทรัพยากร https การต่อต้าน MITM โดยเนื้อแท้ทำให้พร็อกซีการเร่งความเร็ว http ลดภาระเซิร์ฟเวอร์ไม่ได้ ตัวเร่ง HTTP เช่น Squid
5
ตอบกลับ
mx flag
Austin Hemmelgarn
@Moo ถูกต้อง ภัยคุกคามหลักของการเปิดเผยข้อมูลที่ HTTPS จะป้องกันไม่ได้อยู่ที่แพ็คเกจ xyz มีเนื้อหาเฉพาะบางอย่าง แต่เป็นที่ระบบที่อยู่ IP 192.0.2.1 ได้ดาวน์โหลดแพ็คเกจ xyz (และดังนั้นจึงอาจติดตั้งแพ็คเกจ xyz) ซึ่งเป็น _exceedingly_ ข้อมูลที่เป็นประโยชน์สำหรับผู้ที่โจมตีระบบนั้น
0
ตอบกลับ
cn flag
Einacio
@moo ฉันเคยอ่านมาก่อนว่าการวิเคราะห์ทราฟฟิกยังช่วยให้คุณรู้ว่ามีการดาวน์โหลดอะไรด้วย https เนื่องจากคุณสามารถสังเกตขนาดของการดาวน์โหลดได้ และไม่เป็นความลับ บางทีคุณอาจไม่สามารถแยกความแตกต่างของแพ็คเกจตามน้ำหนักได้ในทุกกรณี แต่คุณสามารถตั้งสมมติฐานได้ (หากคุณติดตั้งโมดูล php 3 โมดูล โมดูลถัดไปน่าจะเป็นโมดูลอื่นมากกว่าโปรแกรม Paint หากฉันสงสัยระหว่าง 2 โมดูลนั้น)
1
ตอบกลับ
et flag
Moo
@Einacio การวิเคราะห์ทราฟฟิกของสตรีมที่เข้ารหัสสามารถและยังคงดึงข้อมูลที่ใช้งานได้ (ดูการวิเคราะห์การส่งสัญญาณที่เข้ารหัสไปและกลับจากสายลับในช่วงสงครามเย็น) แต่ก็ยังยากกว่ามากในการระบุแพ็คเกจแต่ละรายการที่ดาวน์โหลด - ด้วย http ข้อมูลสำหรับผู้โจมตี อยู่ที่นั่นและพวกเขาสามารถไปที่ "โอ้ เว็บเซิร์ฟเวอร์นั้นกำลังใช้แพ็คเกจ X ซึ่งเสี่ยงต่อการถูกโจมตีจาก Y" โดยไม่ต้องพยายามวิเคราะห์อีกต่อไป การรักษาความปลอดภัยไม่ได้เกี่ยวกับการป้องกันที่สมบูรณ์ แต่เป็นเรื่องของเลเยอร์เสมอเพื่อให้ผู้โจมตีทำได้ยากขึ้น
0
ตอบกลับ
trognanders avatar
ni flag
trognanders
ตอนนี้ Ubuntu มิเรอร์จำนวนมากตอบกลับบน HTTPS สำหรับทุกคนที่ต้องการพิมพ์
0
ตอบกลับ
Mark avatar
tz flag
Mark
@AustinHemmelgarn HTTPS ไม่ได้ซ่อนขนาดของการถ่ายโอน และขนาดการถ่ายโอนเพียงอย่างเดียวจะบอกคุณว่าแพ็คเกจใดบ้างที่ถูกดาวน์โหลดสำหรับไฟล์ทั้งหมดยกเว้นไฟล์ที่เล็กที่สุด
0
ตอบกลับ
cn flag
AndreKR
@trognanders นั่นไม่ใช่ประสบการณ์ของฉันฉันต้องค้นหาใน Google โดยเฉพาะเพื่อหาสิ่งที่อนุญาต HTTPs เนื่องจาก ISP ของฉันทำงาน (โดยเจตนาดี?) สแกนไวรัสบนทราฟฟิก HTTP และบล็อกบางแพ็คเกจว่าเป็นค่าบวกเท็จ
0
ตอบกลับ
trognanders avatar
ni flag
trognanders
@AndreKR รายการมิเรอร์สำหรับ CentOS ระบุว่าอันใดทำ HTTPS ดังนั้นจึงน่าจะค่อนข้างง่ายหากไม่มี Google นอกจากนี้นอกหัวข้อ แต่นี่คือกระจกเงาที่ฉันใช้เสมอเมื่อเป็นไปได้ เป็นเจ้าภาพโดยมหาวิทยาลัยในท้องถิ่น https://mirror.arizona.edu/
0
ตอบกลับ
Score:20
avatar Server
ธง cn
Bob

จากมุมมองทางเทคนิค เนื้อหา HTTP ธรรมดาสามารถแคชได้อย่างง่ายดายโดยพร็อกซีเซิร์ฟเวอร์ สามารถสร้างความแตกต่างเล็กน้อยเมื่อคุณต้องการจัดการและอัปเดตระบบมากกว่าไม่กี่ระบบ

การตั้งค่ามิเรอร์ในเครื่องมักจะเกินความจำเป็นและไม่สามารถทำได้จริง แต่เมื่อพร็อกซีเซิร์ฟเวอร์ของคุณสามารถให้บริการอัปเดตจากแคชที่ความเร็ว LAN แทนที่จะเป็นไคลเอนต์ทุกเครื่องในเครือข่ายของคุณที่เชื่อมต่อกับแหล่งข้อมูลออนไลน์...

0 + 0
mckenzm avatar
in flag
mckenzm
ฉันอยากได้มิเรอร์ในเครื่องที่ความเร็ว 10Mb/s มากกว่ามิเรอร์ระยะไกลที่ 9600bps
0
ตอบกลับ
sn flag
Peter Mortensen
มีบางอย่างขาดหายไปในตอนท้ายหรือไม่? เช่น *not overkill* โดยนัยนั้นไม่ชัดเจน
0
ตอบกลับ
Score:14
avatar Server
ธง cn
rems4e

แพคเกจได้รับการลงนามโดยวิธีนอกช่องทาง (กบข คีย์ที่เก็บไว้ในระบบของคุณ)

การใช้งานหลักของการมี HTTP คือการทำให้ง่ายต่อการมีพร็อกซีอ้างอิงระหว่างอินเทอร์เน็ตและเครื่องของคุณ ซึ่งสามารถประหยัดแบนด์วิธและเวลาได้มากโดยการดาวน์โหลดเพียงครั้งเดียว (ครั้งแรก) การอัปเกรดสำหรับ 1,000 วินาทีของ (เสมือน ) เครื่อง.

HTTPS ป้องกันได้ (ไม่สมบูรณ์ แต่ทำให้ยากขึ้น) เนื่องจากการเข้ารหัสแบบ end-to-end คุณไม่สามารถใส่สิ่งที่ขัดขวางแพ็คเกจที่ดาวน์โหลดมาได้อย่างง่ายดายเพื่อจัดเก็บและให้บริการในภายหลัง

0 + 0
Score:2
avatar Server
ธง in
NiKiZe

ข้อผิดพลาดของเวลาระบบอาจทำให้เกิดปัญหากับ HTTPS ไม่ใช่ปัญหาที่แท้จริง แต่บางครั้งก็ไม่จำเป็น

ระบบที่ล้าสมัยซึ่งไม่มีใบรับรองที่เชื่อถือได้นั้นเป็นเรื่องที่น่าปวดหัวในการอัปเดต

กระจกที่ต้องตอบสนองเช่นเดียวกัน หล่อ ชื่อโฮสต์

ต้องใช้เวลาในการตั้งค่ามิเรอร์แบบกระจายด้วยใบรับรองที่ถูกต้อง

0 + 0
Score:2
trognanders avatar Server
ธง ni
trognanders

มิเรอร์จำนวนมากจะตอบกลับบน HTTPS หากคุณเปลี่ยน URL แม้ว่าลิงก์ไปยังพวกเขาจะเป็น HTTP เท่านั้น การใช้สิ่งนี้ดีกว่าการไม่ตรวจสอบอะไรเลย แต่ให้ความไว้วางใจในโฮสต์มิเรอร์อย่างแท้จริง การใช้ลายเซ็นอย่างเป็นทางการของ GPG เพื่อยืนยันการดาวน์โหลดจะมอบความไว้เนื้อเชื่อใจให้กับฝ่ายที่คุณไว้วางใจเท่านั้น

หากคุณทำตามคำแนะนำที่นี่ คุณจะต้องเชื่อถือใบรับรองสำหรับ canonical.com, ตัวอย่างเช่น. https://ubuntu.com/tutorials/how-to-verify-ubuntu

0 + 0
Score:1
avatar Server
ธง cn
marbu

การกระจาย CentOS ใช้ GPG เพื่อลงนามทั้งแพ็คเกจ rpm และ ข้อมูลเมตาที่เก็บ yum/dnfเพื่อป้องกันการโจมตีแบบ MITM

ดูสิ่งนี้ด้วย Fedora รักษาความปลอดภัยในการจัดส่งพัสดุอย่างไรซึ่งกำลังพูดถึง Fedora แต่เครื่องมือและนโยบายความปลอดภัยของข้อมูลเมตาของแพ็คเกจและที่เก็บข้อมูลเหมือนกัน

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา