Tutti i server di download degli aggiornamenti di Ubuntu sono solo HTTP?

14

Nelle fonti di software di Update Manager esiste l'opzione per scegliere un server di download e un protocollo come mostrato di seguito.

Tutti gli aggiornamenti vengono scaricati solo tramite HTTP?

E se HTTPS (o SFTP) non sono supportati, perché esiste l'opzione? Domanda correlata qui , anche se si tratta solo di immagini ISO complete.

Scegli uno screenshot del server di download

update-manager  security  https 
Tom Brossman
fonte
1
Il protocollo non cambia per server di download? (se scegli ftp.rezopole.net mi aspetterei che cambi in ftp). E se il server supporta https, mi aspetto che mostri https.
Rinzwind,
@Rinzwind No, selezionando uno dei collegamenti ftp viene visualizzato anche solo http, non ci sono altre opzioni tra cui scegliere.
Tom Brossman,

Risposte:

9

protocolli software supportati

Potenzialmente sì, il software che mostra il menu a discesa dei protocolli può supportare un mirror https: la casella a discesa in questione accetta i seguenti protocolli validi :

  • ftp
  • http
  • file
  • rsync
  • https

Questo è dettagliato nel codice sorgente del pacchetto software-properties-gtk:

apt-get source software-properties-gtk
cd software-properties*/softwareproperties/gtk

Cerca nel file DialogMirror.py - funzionedef is_valid_mirror

c'è un ma ...

Tuttavia, in realtà, i mirror pubblici supportati da Ubuntu sono limitati a http://, ftp://ersync://

I mirror che è possibile definire sono limitati quando si definisce un nuovo mirror :

specchi locali

Pertanto, poiché il software stesso non limita i protocolli, un modo per scaricare su HTTPS è definire e mantenere il proprio repository e mirror locale. Come al solito, abbiamo ottime domande e risposte che hanno diverse risposte applicabili:

apt-mirrorè probabilmente la tua scommessa migliore qui. Installa il apt-mirrorpacchetto ed esamina la sua pagina man:

ESEMPI DI CONFIGURAZIONE La configurazione mirror.list supporta molte opzioni ...

   HTTPS with sending Basic HTTP authentication information (plaintext username and password) for all
   requests: (this was default behaviour of Wget 1.10.2 and prior and is needed for some servers with new
   version of Wget) set auth_no_challenge 1 deb https://user:pass@example.com:443/debian stable main contrib
   non-free

   HTTPS without checking certificate: set no_check_certificate 1 deb https://example.com:443/debian stable
   main contrib non-free

Come puoi vedere, puoi definire un mirror HTTPS locale - aggiungi il tuo mirror HTTPS locale e dovrebbe apparire nell'elenco dei mirror.

libertà fossile
fonte
Ottima risposta, grazie. Mi chiedo quanto siano vulnerabili gli aggiornamenti alla manomissione allora? Dal momento che il traffico HTTP può essere manipolato dal tuo ISP o anche da una caffetteria che offre WiFi gratuito, deve esserci qualcosa per verificare l'integrità dei download. Probabilmente chiesto e risposto qui (proverò una ricerca) ma non capisco ancora come funzioni.
Tom Brossman,
1
@TomBrossman - il sistema si basa sull'autenticazione del pacchetto - questa è una domanda
risposta
Interessante articolo del progetto Guardian qui sulla perdita di metadati del pacchetto per connessioni non HTTPS.
Tom Brossman,
0

Ubuntu non possiede questi server, spetta a loro decidere se avranno https o meno. L'opzione esiste perché un server potrebbe anche fornire una connessione https

user251046
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.