क्या apt-get
https या किसी भी प्रकार के एन्क्रिप्शन का उपयोग करता है? क्या इसका उपयोग करने के लिए इसे कॉन्फ़िगर करने का कोई तरीका है?
क्या apt-get
https या किसी भी प्रकार के एन्क्रिप्शन का उपयोग करता है? क्या इसका उपयोग करने के लिए इसे कॉन्फ़िगर करने का कोई तरीका है?
जवाबों:
apt-get
(और अन्य पैकेज मैनिपुलेशन कमांड, जो समान APT लाइब्रेरी के सामने के छोर हैं) HTTP, HTTPS और FTP (और माउंट किए गए फाइल सिस्टम) का उपयोग कर सकते हैं। यदि आप निर्दिष्ट https://
में यूआरएल /etc/apt/sources.list
और /etc/apt/sources.list.d/*
, फिर अपार्ट HTTPS का उपयोग करेगा।
APT पैकेजों के हस्ताक्षर की पुष्टि करता है। इसलिए आपको एक प्रकार का परिवहन करने की आवश्यकता नहीं है जो डेटा प्रमाणीकरण प्रदान करता है। यदि कोई हमलावर आपके द्वारा डाउनलोड की जा रही फ़ाइलों को संशोधित करता है, तो इस पर ध्यान दिया जाएगा। हस्ताक्षर सत्यापन का उपयोग करना HTTPS कनेक्शन का उपयोग करने से बेहतर है, क्योंकि यह आपके द्वारा डाउनलोड किए जा रहे सर्वर पर हमले का पता लगाएगा, न कि केवल ट्रांज़िट में हमला।
अधिक सटीक, पैकेज के लिए (सरलीकृत) डेटा प्रवाह निम्न है:
HTTPS सुनिश्चित करता है कि चरण 4 सही ढंग से होता है। पैकेज हस्ताक्षर सुनिश्चित करते हैं कि चरण 2 से 4 सही ढंग से होते हैं।
वास्तव में, चरण 4 के लिए HTTPS में एक छोटा लाभ है: पैकेज हस्ताक्षर केवल यह सुनिश्चित करते हैं कि पैकेज प्रामाणिक है। चरण 4 में एक हमलावर वैध सर्वर लगा सकता है और पैकेज के बासी संस्करणों की सेवा कर सकता है। उदाहरण के लिए, हमलावर आपको किसी भी सुरक्षा अद्यतन को डाउनलोड करने से रोक सकता है, जो आपकी मशीन पर भेद्यता का शोषण करने की उम्मीद में होता है, यदि आप हमले के लिए नहीं थे। यह बहुत यथार्थवादी परिदृश्य नहीं है, क्योंकि इसके लिए एक सक्रिय हमलावर की आवश्यकता होती है (ताकि आपके इंटरनेट कनेक्शन पर किसी का नियंत्रण हो), लेकिन यह सिद्धांत रूप में हो सकता है।
HTTPS का दूसरा लाभ यह होगा कि यदि आप इस तथ्य को छिपाने की कोशिश कर रहे हैं कि आप अपने नेटवर्क कनेक्शन पर किसी व्यक्ति से उबंटू पैकेज डाउनलोड कर रहे हैं। फिर भी, ईव्सड्रोपर देख सकता है कि आप किस मेजबान से जुड़ रहे हैं; यदि आप उबंटू दर्पण से कनेक्ट करते हैं और सैकड़ों मेगाबाइट डाउनलोड करते हैं, तो यह स्पष्ट है कि आप उबंटू पैकेज डाउनलोड कर रहे हैं। Eavesdropper ज्यादातर यह भी पता लगा सकता है कि आप फ़ाइलों के आकार से कौन से पैकेज डाउनलोड कर रहे हैं। इसलिए HTTPS केवल तभी उपयोगी होगा जब आप एक ऐसे सर्वर से डाउनलोड कर रहे हों जो समान आकार की अन्य फाइलें भी प्रदान करता हो - मुझे थर्ड-पार्टी पैकेज और केवल बहुत ही असामान्य परिस्थितियों के अलावा कोई बिंदु नहीं दिखता है।
पुनरावृत्ति करने के लिए: HTTPS का सामान्य लाभ, जो यह है कि आप जानते हैं कि आप वास्तविक सर्वर से जुड़े हुए हैं, जब आप उबंटू के पैकेज के लिए बेकार हो जाते हैं। पैकेजों पर हस्ताक्षर सत्यापन HTTPS द्वारा प्रदान की गई तुलना में अधिक मजबूत गारंटी देता है।
apt-get update
लिंक को एक्सेस करने की कोशिश में त्रुटि की रिपोर्ट करेगा। Ppas के साथ: वही। क्या किसी ने कोशिश की है?
archive.ubuntu.com
नहीं है । आप अपने ब्राउज़र में देख सकते हैं कि क्या कोई सर्वर URL पर https: // को उपसर्ग करके इसका समर्थन करता है और यह देखने के लिए कि क्या आपको निर्देशिकाओं की सूची मिलती है, आदि
APT के साथ, आमतौर पर जो अधिक महत्वपूर्ण है वह यह नहीं है कि आपका कनेक्शन एन्क्रिप्ट किया गया है, बल्कि यह कि आपको जो फाइलें मिल रही हैं, उनके साथ छेड़छाड़ नहीं की गई है।
यह सुनिश्चित करने के लिए APT ने अंतर्निहित हस्ताक्षर सत्यापन किया है।
एन्क्रिप्शन ईवेंटवॉपर को यह देखने से रोक देगा कि आप क्या डाउनलोड कर रहे हैं, लेकिन जो आप वास्तव में डाउनलोड कर रहे हैं (और अनुरोध कर रहे हैं) बहुत ही विवादास्पद है: यह वही होगा जैसे हजारों अन्य उबंटू उपयोगकर्ता डाउनलोड कर रहे हैं और फाइलों में कुछ भी नहीं है ' टी बहुत सारे सर्वर पर आसानी से उपलब्ध है। फिर भी, यदि आपको गोपनीयता की आवश्यकता है कि आप विशेष रूप से कौन से पैकेज डाउनलोड कर रहे हैं, तो HTTPS का उपयोग किया जा सकता है (इसे अपने सूत्रों में सूचीबद्ध करें)।
APT में बनाया गया हस्ताक्षर सत्यापन सुनिश्चित करेगा कि आपके द्वारा प्राप्त की गई फ़ाइलों के साथ छेड़छाड़ नहीं की गई है। यह वास्तव में मायने नहीं रखता है कि फाइलें कहां से आती हैं और सर्वर लोड या गति को कम करने के लिए आपके और सर्वर के बीच समीपवर्ती या रिवर्स प्रॉक्सी होना भी संभव है। हस्ताक्षर सत्यापन अभी भी सुनिश्चित करता है कि आपको अनधिकृत फ़ाइल मिल रही है, हस्ताक्षर से मेल खाते हैं जो केवल मूल फ़ाइल और उबंटू की निजी कुंजी की एक प्रति के साथ क्रिप्टोग्राफिक रूप से निर्मित हो सकते हैं।
यदि आप HTTPS पर स्विच करते हैं, तो आप एक्सेस सर्वर को तेज़ करने या लोड को कम करने के लिए प्रॉक्सी सर्वर का लाभ नहीं ले पाएंगे। और यह गैर-छेड़छाड़ के बारे में और अधिक आश्वासन नहीं जोड़ेगा कि एपीटी के हस्ताक्षर सत्यापन पहले से ही नहीं देते हैं। हालाँकि, इसका मतलब यह होगा कि ईव्सड्रॉपर (जैसे कि आपका आईएसपी) यह नहीं देख पाएगा कि आप कौन से पैकेज डाउनलोड कर रहे हैं (जो कि गोपनीय होने की संभावना नहीं है, और जैसा कि गिल्स ने बताया कि वे फ़ाइल आकार से अनुमान लगा सकते हैं)।
apt update
और आपके बीच का कोई शख्स आपको बोगस इंडेक्स खिलाता है, तो आप ख़ुशी ख़ुशी लेते हैं, जो बीच का आदमी आपको देता है और इसे / var / lib / apt / list में लिखता है। यह सिर्फ बीच में एक बुरे आदमी के साथ नहीं है, लेकिन अगर आप होटल के वाईफाई पर हैं और लॉगिन पृष्ठ पर रीडायरेक्ट हो गए हैं, अगर apt update
आप लॉग इन करने से पहले चलते हैं, तो आपकी / var / lib / apt / सूचियों को ट्रैश हो जाएगा। होटल के होमपेज एचटीएमएल के साथ। जाली! वैसे भी बेसिक टीएलएस सर्टिफिकेट चेकिंग से इस पर तुरंत अंकुश लगेगा।
हाल के एपीटी रिलीज में टीएलएस समर्थन का निर्माण किया गया है, इसलिए आपको बस अपने पैकेज-रिपॉजिटरी मिरर यूआरएल को https
-प्रतिबद्ध लोगों के साथ बदलने की आवश्यकता है। डेबियन के लिए, यह इस तरह दिख सकता है:
deb https://deb.debian.org/debian/ stretch main
deb https://deb.debian.org/debian-security stretch/updates main
deb https://deb.debian.org/debian/ stretch-updates main
यह उपयोगी है, भले ही APT में पैकेजों के साथ छेड़छाड़ न हो, यह सुनिश्चित करने के लिए अपने स्वयं के हस्ताक्षर प्रोटोकॉल शामिल हैं, क्योंकि APT में कीड़े हो सकते हैं (जैसा कि वहाँ रहा है: CVE-2016-1252 , CVE-2019-3462 )। HTTP / TLS प्रोटोकॉल और उनके सिफर्स गहन जांच के अधीन हैं, इसलिए सुरक्षा की इस परत को जोड़ने पर एक गंभीर शून्य-दिन भेद्यता बहुत कम होने की संभावना है।
मुझे लगता है कि यह प्रश्न आम आदमी के लिए निर्देशों के साथ उत्तर का उपयोग कर सकता है, इसलिए ...
APT अभी भी Ubuntu 19.10 (Eoan) (जो अभी भी विकास में है) के दैनिक निर्माण में डिफ़ॉल्ट रूप से HTTPS का उपयोग नहीं करता है। कोई /etc/apt/sources.list फ़ाइल की जांच करके यह सत्यापित कर सकता है कि सभी स्रोत URL "http:" URL योजना का उपयोग करते हैं।
HTTPS का उपयोग करने के लिए इसे कॉन्फ़िगर करने के लिए, व्यक्ति निम्नलिखित निर्देशों का पालन कर सकता है:
सबसे पहले , HTTPS का समर्थन करने वाले एक भरोसेमंद आधिकारिक Ubuntu संग्रह दर्पण को खोजें:
उदाहरण के लिए, मैं विकिमीडिया फाउंडेशन को विश्वसनीय मानता हूं, इसलिए मैंने http://mirrors.wikimedia.org/ubuntu/ मिरर URL का दौरा किया और बाद में इसे बदलकर https://mirrors.wikimedia.org/ubuntu/ कर दिया , जो सफलतापूर्वक हल हो गया।
यदि आप फ़ायरफ़ॉक्स (67.0.4) का उपयोग करते हैं और एचटीटीपीएस एवरीवेयर (2019.6.27) एक्सटेंशन को "सभी साइटों को सक्षम करें" योग्य सुविधा के साथ स्थापित किया गया है (टूलबार बटन पैनल के माध्यम से) सक्षम, चरण (4) और (5) छोड़ा जा सकता है क्योंकि एक्सटेंशन स्वचालित रूप से HTTPS का उपयोग करने के लिए URL को संशोधित करेगा, जिससे कोई भी तुरंत यह निर्धारित कर सके कि URL का "https:" संस्करण हल होगा या नहीं।
दो , अपने APT स्रोतों की सूची अपडेट करें:
sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup
अपने अद्यतन स्रोतों की सूची का बैकअप लेने के लिए कमांड निष्पादित करें ।sudo sed --in-place --regexp-extended 's http://(us\.archive\.ubuntu\.com|security\.ubuntu\.com) https://mirrors.wikimedia.org g' /etc/apt/sources.list
के मिरर बेस URL के साथ कमांड और, फिर कमांड को निष्पादित करें।तीसरा , आपको उबंटू आर्काइव के बाहर से सॉफ़्टवेयर इंस्टॉल करने के बाद "http:" स्रोतों के लिए /etc/apt/source.list.d/ निर्देशिका की सामग्री की जांच करनी चाहिए, जिन्हें "https:" में बदला जा सकता है।
उदाहरण के लिए, Microsoft का विज़ुअल स्टूडियो कोड पैकेज इस निर्देशिका के लिए एक vscode.list फ़ाइल जोड़ता है जो "http:" URL निर्दिष्ट करता है। URL स्कीम को "http:" से "https:" में बदलना HTTPS पर अपडेट की अनुमति देता है।
उन्हें संशोधित करने से पहले ऐसी किसी भी स्रोत फ़ाइलों का बैकअप लेने पर विचार करें।
अंत में , यह सुनिश्चित करने के लिए एक अपडेट करें कि अपडेट सही तरीके से काम करेगा:
sudo apt-get update
आदेश निष्पादित करें ।sudo cp /etc/apt/sources.list.backup /etc/apt/sources.list
कमांड निष्पादित करके बैकअप स्रोत सूची फ़ाइल (ओं) को पुनर्स्थापित करें ।यह भी ध्यान देने योग्य है कि APT में HTTPS सपोर्ट जोड़ने के लिए apt-transport-https पैकेज है। हालाँकि, वेबपेज https://launchpad.net/ubuntu/eoan/+package/apt-transport-https के अनुसार यह पैकेज स्पष्ट रूप से अनावश्यक है और कमांड निष्पादित करने के बाद दिखाई गई जानकारी के अनुसार APT 1.5 से इसकी आवश्यकता नहीं है apt-cache show apt-transport-https
।