înregistrare Logare
Puncte:28
SydMK avatar Server

De ce CentOS oglindă HTTP și nu HTTPS?

drapel us
SydMK

Din câte știu eu, HTTP este predispus la atacuri de tip om-in-the-middle. Ca atare, depozitele în Alpine Linux sau CentOS Oglinzile nu sunt HTTPS.

Pe vremuri, a avea HTTPS era o chestiune costisitoare. A costat timp CPU pe server și certificatele nu erau gratuite. Dar acum este 2022 și avem o mulțime de modalități de a depăși aceste probleme, iar securitatea a fost prioritatea principală ca niciodată!

Cum putem obține binare mai inteligente?

De asemenea, aceasta este o problemă în comunitatea mai largă Linux? adică, Ubuntu, Linux Mint, openSUSE, etc.?

4675
0 + 0
dave_thompson_085 avatar
drapel jp
dave_thompson_085
Vedeți https://security.stackexchange.com/questions/18853/why-arent-application-downloads-routinely-done-over-https
2
Răspunde
drapel ad
Randall
Multe oglinzi CentOS sunt *atât* HTTP, cât și HTTPS (și toate oglinzile CentOS 9 Stream sunt ambele), așa că alegeți una HTTPS de utilizat.
2
Răspunde
MonkeyZeus avatar
drapel in
MonkeyZeus
Dacă oglinzile necesită acreditări prin HTTP și vă conformați și/sau nu verificați suma de verificare după descărcare, atunci este posibil să nu fiți publicul țintă pentru CentOS.
0
Răspunde
drapel cn
AndreKR
@Randall Deoarece OP menționează și Ubuntu, multe oglinzi Ubuntu sunt, din păcate, numai HTTP. Nu le pot folosi deoarece ISP-ul meu rulează (bine-intenționat?) scanări de viruși pe tot traficul HTTP și adesea blochează anumite pachete ca fiind fals pozitive.
0
Răspunde
Puncte:35
avatar Server
drapel in
Virsacer

Pachetele sunt într-adevăr semnate, deci s-ar observa o manipulare.

De asemenea, pachetele nu sunt secret, deci nu este nevoie să le criptați pe transfer.

Cu masa de descărcări din oglinzi, probabil că acest lucru le economisește o mulțime de resurse.

Este la fel pe Debian și Ubuntu.

0 + 0
drapel tr
Andrew Savinykh
Este îndoielnic că „acest lucru probabil le economisește o mulțime de resurse” https://istlsfastyet.com/
13
Răspunde
dave_thompson_085 avatar
drapel jp
dave_thompson_085
În plus, pentru utilizatorii (și care utilizează rețeaua) unei companii, școli sau alte organizații care inspectează traficul de rețea, o astfel de inspecție este transparentă pentru HTTP, dar HTTPS trebuie decriptat apoi re-criptat cu un alt certificat pe care software-ul client probabil nu îl face. recunoașteți, ceea ce face ca întreținerea sistemului să eșueze, ceea ce este de obicei rău.
1
Răspunde
drapel et
Moo
Analiza traficului este un instrument bun pentru a descoperi ce instalează un server și, prin urmare, ce pachete potențial vulnerabile le trage - așa că nu sunt de acord cu afirmația dvs. că „pachetele nu sunt secrete, deci nu este nevoie să le criptați”.
11
Răspunde
SydMK avatar
drapel us
SydMK
Mulțumesc @Virsacer și tuturor editorilor de întrebări și răspunsuri. Încă o clarificare cu privire la răspuns: Este posibil să verificați manual integritatea pachetului? În opinia mea, pachetul și hashurile pot fi schimbate printr-un atac de tip om în mijloc. De asemenea, sistemul de operare verifică automat semnăturile în timpul instalării?
0
Răspunde
drapel au
Jon Bentley
@SydMK Dacă o transmisie este semnată, iar atacatorul nu are o copie a cheii private a expeditorului și aveți o copie (nemodificată) a cheii publice a expeditorului, atunci atacatorul nu este posibil să semneze o transmisie. s-au schimbat prin MiTM. Prin urmare, veți putea detecta o astfel de modificare utilizând cheia publică a expeditorului pentru a vedea dacă ei au semnat-o sau nu.
0
Răspunde
drapel my
Aron
@AndrewSavinykh Timpul CPU AES nu este singurul lucru care mărește resursele. https, fiind în mod inerent anti MITM, face imposibil ca proxy-urile de accelerare http să reducă încărcarea serverului. Acceleratoare HTTP precum Squid.
5
Răspunde
drapel mx
Austin Hemmelgarn
@Moo este corect, principala amenințare a dezvăluirii informațiilor împotriva căreia s-ar proteja HTTPS aici nu este că pachetul xyz are un anumit conținut, ci că un sistem cu adresa IP 192.0.2.1 a descărcat pachetul xyz (și, prin urmare, probabil că a instalat pachetul). xyz), care este o informație _excede de utilă pentru cineva care atacă acel sistem.
0
Răspunde
drapel cn
Einacio
@moo Am citit înainte că analiza de trafic încă vă permite să știți ce se descarcă cu https, deoarece puteți observa dimensiunea descărcării și nu este secret. Poate că nu puteți diferenția pachetele după greutate în fiecare caz, dar puteți face presupuneri (dacă ați instalat 3 module php, cel mai probabil următorul este un alt modul decât un program Paint dacă mă îndoiesc între cele 2)
1
Răspunde
drapel et
Moo
Analiza traficului @Einacio a fluxurilor criptate poate și încă scoate informații utilizabile (vezi analiza transmisiilor codificate către și de la spioni în timpul războiului rece), dar este încă substanțial mai greu să identifici pachetele individuale descărcate - cu http, informațiile pentru un atacator este chiar acolo și pot trece direct la „oh, acel server web folosește pachetul X care este vulnerabil să exploateze Y” fără niciun efort suplimentar în analiză. Securitatea nu se referă la protecție completă, ci întotdeauna despre straturi pentru a face mai dificilă pentru atacatori.
0
Răspunde
trognanders avatar
drapel ni
trognanders
Multe oglinzi Ubuntu răspund acum pe HTTPS, pentru oricine îi pasă să-l introducă.
0
Răspunde
Mark avatar
drapel tz
Mark
@AustinHemmelgarn, HTTPS nu ascunde dimensiunea transferului, iar dimensiunea transferului vă va spune ce pachete au fost descărcate pentru toate fișierele, cu excepția celor mai mici.
0
Răspunde
drapel cn
AndreKR
@trognanders Aceasta nu este experiența mea.A trebuit să caut în mod special pe Google unul care să permită HTTP-urile, deoarece ISP-ul meu rulează (bine-intenționat?) scanări de viruși pe trafic HTTP și a blocat unele pachete ca fiind fals pozitive.
0
Răspunde
trognanders avatar
drapel ni
trognanders
@AndreKR Lista de oglinzi pentru CentOS specifică care fac HTTPS, așa că ar trebui să fie destul de ușor fără Google. De asemenea, în afara subiectului, dar aceasta este oglinda pe care o folosesc întotdeauna când este posibil. Este găzduit de o universitate locală. https://mirror.arizona.edu/
0
Răspunde
Puncte:20
avatar Server
drapel cn
Bob

Din punct de vedere tehnic, faptul că conținutul HTTP simplu poate fi stocat cu ușurință în cache de serverele proxy poate face o diferență destul de mare atunci când trebuie să gestionați și să actualizați mai mult de câteva sisteme.

Configurarea oglinzilor locale este adesea exagerată și nu practică, dar atunci când serverul dvs. proxy poate furniza actualizări dintr-un cache la viteze LAN, mai degrabă decât fiecare client din rețea dvs. care se conectează la o sursă online...

0 + 0
mckenzm avatar
drapel in
mckenzm
Prefer să am o oglindă locală la 10 Mb/s decât o oglindă la distanță la 9600 bps.
0
Răspunde
drapel sn
Peter Mortensen
Lipsește ceva la sfârșit? De exemplu, implicit *nu exagerat* nu este atât de clar.
0
Răspunde
Puncte:14
avatar Server
drapel cn
rems4e

Pachetele sunt semnate printr-o metodă în afara canalului (GPG cheile stocate pe sistemul dvs.).

Utilizarea principală a utilizării HTTP este aceea de a facilita existența unui proxy de dependență între Internet și mașinile dvs., ceea ce poate economisi o mulțime de lățime de bandă și de timp, fiind nevoiți să descărcați o singură dată (prima dată) actualizări pentru potențial 1000 de (virtuale). ) mașini.

HTTPS îl împiedică (nu complet, dar îl îngreunează), deoarece fiind criptat end-to-end, nu poți pune cu ușurință ceva care ar intercepta pachetele descărcate pentru a le stoca și a le servi mai târziu.

0 + 0
Puncte:2
trognanders avatar Server
drapel ni
trognanders

O mulțime de oglinzi vor răspunde pe HTTPS dacă modificați adresa URL, chiar dacă linkul către ele este doar HTTP. Folosirea acestui lucru este mai bună decât a nu verifica nimic, dar pune încredere absolută în gazda oglindă. Utilizarea semnăturilor oficiale GPG pentru a verifica descărcările lasă încrederea doar părților în care aveți deja încredere completă.

Dacă urmați instrucțiunile de aici, trebuie doar să aveți încredere în certificat pentru canonical.com, de exemplu. https://ubuntu.com/tutorials/how-to-verify-ubuntu

0 + 0
Puncte:2
avatar Server
drapel in
NiKiZe

O eroare de timp de sistem poate cauza probleme cu HTTPS. Nu este o problemă reală, dar uneori este inutilă.

Un sistem învechit care nu are certificate de încredere este dificil să le actualizezi.

Oglinzile care trebuie să răspundă la același lucru anycasted nume de gazdă.

Este nevoie de timp pentru a configura oglinzi distribuite cu certificate valide.

0 + 0
Puncte:1
avatar Server
drapel cn
marbu

Distribuția CentOS utilizează GPG pentru a semna atât pachetele rpm, cât și metadatele depozitului yum/dnf, astfel încât atacul MITM să fie prevenit.

Vezi si Cum asigură Fedora livrarea pachetelor, care discută despre Fedora, dar instrumentele și politica de securitate a metadatelor pentru pachet și depozit sunt aceleași.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.