Регистрация Войти
Рейтинг:28
SydMK avatar Server

Почему CentOS зеркалирует HTTP, а не HTTPS?

флаг us
SydMK

Насколько я знаю, HTTP склонен к атаки «человек посередине». Таким образом, репозитории в Альпийский Линукс или CentOS Зеркала — это не HTTPS.

Раньше наличие HTTPS было дорогим делом. Это стоило процессорного времени сервера, а сертификаты не были бесплатными. Но сейчас 2022 год, и у нас есть много способов решить эти проблемы, и безопасность является главным приоритетом, чем когда-либо!

Как мы можем получить двоичные файлы умнее?

Также это проблема в более широком сообществе Linux? то есть, Убунту, Линукс Минт, openSUSE, и т.д.?

4675
0 + 0
dave_thompson_085 avatar
флаг jp
dave_thompson_085
См. https://security.stackexchange.com/questions/18853/why-arent-application-downloads-routinely-done-over-https.
2
Ответить
флаг ad
Randall
Многие зеркала CentOS являются *оба* HTTP и HTTPS (и все зеркала CentOS 9 Stream являются обоими), так что просто выберите HTTPS для использования.
2
Ответить
MonkeyZeus avatar
флаг in
MonkeyZeus
Если зеркалам требуются учетные данные через HTTP, а вы соответствуете требованиям и/или не проверяете контрольную сумму после загрузки, возможно, вы не являетесь целевой аудиторией для CentOS.
0
Ответить
флаг cn
AndreKR
@Randall Поскольку OP также упоминает Ubuntu, многие зеркала Ubuntu, к сожалению, поддерживают только HTTP. Я не могу их использовать, потому что мой интернет-провайдер запускает (с благими намерениями?) сканирование на вирусы всего HTTP-трафика и часто блокирует определенные пакеты как ложноположительные.
0
Ответить
Рейтинг:35
avatar Server
флаг in
Virsacer

Пакеты действительно подписаны, поэтому манипуляция будет замечена.

Так же нет пакетов секрет, поэтому нет необходимости шифровать их на перевод.

При массе загрузок с зеркал это, наверное, экономит им кучу ресурсов.

Это то же самое на Дебиан и Убунту.

0 + 0
флаг tr
Andrew Savinykh
Сомнительно, что "это, наверное, экономит им много ресурсов" https://istlsfastyet.com/
13
Ответить
dave_thompson_085 avatar
флаг jp
dave_thompson_085
Кроме того, для пользователей (и использующих сеть) в бизнесе, школе или другой организации, которая проверяет сетевой трафик, такая проверка прозрачна для HTTP, но HTTPS должен быть расшифрован, а затем повторно зашифрован с другим сертификатом, который клиентское программное обеспечение, вероятно, не делает. распознавать, что приводит к сбою обслуживания системы, что обычно плохо.
1
Ответить
флаг et
Moo
Анализ трафика — хороший инструмент для обнаружения того, что устанавливает сервер, и, следовательно, какие потенциально уязвимые пакеты он извлекает — поэтому я не согласен с вашим утверждением, что «пакеты не являются секретными, поэтому их не нужно шифровать».
11
Ответить
SydMK avatar
флаг us
SydMK
Спасибо @Virsacer и всем редакторам вопросов и ответов. Еще одно уточнение к ответу: можно ли вручную проверить целостность пакета? На мой взгляд, пакет и хэши можно изменить с помощью атаки «человек посередине». Кроме того, ОС автоматически проверяет подписи во время установки?
0
Ответить
флаг au
Jon Bentley
@SydMK Если передача подписана, а у злоумышленника нет копии закрытого ключа отправителя, а у вас есть (неподделанная) копия открытого ключа отправителя, то злоумышленник не может подписать передачу, которую они изменились через MiTM. Поэтому вы сможете обнаружить такое изменение, используя открытый ключ отправителя, чтобы увидеть, подписали ли его они.
0
Ответить
флаг my
Aron
@AndrewSavinykh Процессорное время AES — не единственное, что увеличивает ресурсы. https по своей сути анти-MITM делает невозможным прокси-серверы ускорения HTTP для снижения нагрузки на сервер. Ускорители HTTP, такие как Squid.
5
Ответить
флаг mx
Austin Hemmelgarn
@Moo прав, основная угроза раскрытия информации, от которой защитит HTTPS, заключается не в том, что пакет xyz имеет какое-то конкретное содержимое, а в том, что система с IP-адресом 192.0.2.1 загрузила пакет xyz (и, следовательно, вероятно, установила пакет xyz), что является _чрезвычайно_ полезной информацией для тех, кто атакует эту систему.
0
Ответить
флаг cn
Einacio
@moo Я читал ранее, что анализ трафика по-прежнему позволяет вам узнать, что загружается с помощью https, поскольку вы можете наблюдать за размером загрузки, и это не секрет. Возможно, вы не можете различать пакеты по весу в каждом случае, но вы можете делать предположения (если вы установили 3 модуля php, следующий, скорее всего, другой модуль, чем программа Paint, если я сомневаюсь между этими двумя)
1
Ответить
флаг et
Moo
@Einacio Анализ трафика зашифрованных потоков может и по-прежнему позволяет получать полезную информацию (см. анализ закодированных передач шпионам и от них во время холодной войны), но все еще значительно сложнее идентифицировать загруженные отдельные пакеты — с http информация для злоумышленника прямо здесь, и они могут сразу перейти к «о, этот веб-сервер использует пакет X, который уязвим для использования Y», без дальнейших усилий по анализу. Безопасность — это не полная защита, это всегда уровни, которые усложняют задачу злоумышленникам.
0
Ответить
trognanders avatar
флаг ni
trognanders
Многие зеркала Ubuntu теперь отвечают на HTTPS, для всех, кто хочет ввести его.
0
Ответить
Mark avatar
флаг tz
Mark
@AustinHemmelgarn, HTTPS не скрывает размер передачи, и только размер передачи скажет вам, какие пакеты были загружены для всех файлов, кроме самых маленьких.
0
Ответить
флаг cn
AndreKR
@trognanders Это не мой опыт.Мне пришлось специально искать в Google тот, который разрешает HTTP, потому что мой интернет-провайдер запускает (с благими намерениями?) сканирование на вирусы в HTTP-трафике и блокирует некоторые пакеты как ложноположительные.
0
Ответить
trognanders avatar
флаг ni
trognanders
@AndreKR В списке зеркал для CentOS указано, какие из них используют HTTPS, так что это должно быть довольно просто без Google. Кроме того, не по теме, но это зеркало, которым я всегда пользуюсь, когда это возможно. Он организован местным университетом. https://mirror.arizona.edu/
0
Ответить
Рейтинг:20
avatar Server
флаг cn
Bob

С технической точки зрения тот факт, что простой HTTP-контент может быть легко кэширован прокси-серверами, может иметь большое значение, когда вам нужно управлять и обновлять несколько систем.

Настройка локальных зеркал часто является излишним и нецелесообразным, но когда ваш прокси-сервер может обслуживать обновления из кэша со скоростью локальной сети, а не каждый клиент в вашей сети, подключающийся к онлайн-источнику...

0 + 0
mckenzm avatar
флаг in
mckenzm
Я бы предпочел локальное зеркало со скоростью 10 Мбит/с, чем удаленное зеркало со скоростью 9600 бит/с.
0
Ответить
флаг sn
Peter Mortensen
Чего-то не хватает в конце? Например, подразумеваемое *не переусердствовать* не так ясно.
0
Ответить
Рейтинг:14
avatar Server
флаг cn
rems4e

Пакеты подписываются внеканальным методом (ООП ключи, хранящиеся в вашей системе).

Основное использование HTTP заключается в том, чтобы упростить использование прокси-сервера зависимости между Интернетом и вашими компьютерами, что может сэкономить много пропускной способности и времени за счет загрузки обновлений только один раз (в первый раз) для потенциально 1000 (виртуальных ) машины.

HTTPS предотвращает это (не полностью, но усложняет), потому что, будучи зашифрованным от начала до конца, вы не можете легко поместить что-то, что будет перехватывать загруженные пакеты, чтобы хранить их и обслуживать их позже.

0 + 0
Рейтинг:2
avatar Server
флаг in
NiKiZe

Ошибка системного времени может вызвать проблемы с HTTPS. Это не реальная проблема, но иногда это не нужно.

Устаревшая система, не имеющая доверенных сертификатов, требует обновления.

Зеркала, которые должны реагировать на то же самое любой имя хоста.

Для настройки распределенных зеркал с действительными сертификатами требуется время.

0 + 0
Рейтинг:2
trognanders avatar Server
флаг ni
trognanders

Многие зеркала будут отвечать по HTTPS, если вы измените URL-адрес, даже если ссылка на них — только HTTP. Использование этого лучше, чем вообще ничего не проверять, но дает абсолютное доверие к зеркальному хосту. Использование официальных подписей GPG для проверки загрузок оставляет доверие только тем сторонам, которым вы уже полностью доверяете.

Если вы будете следовать приведенным здесь инструкциям, вам нужно только доверять сертификату для canonical.com, Например. https://ubuntu.com/tutorials/how-to-verify-ubuntu

0 + 0
Рейтинг:1
avatar Server
флаг cn
marbu

Дистрибутив CentOS использует GPG для подписи пакетов rpm и метаданные репозитория yum/dnf, чтобы предотвратить MITM-атаку.

Смотрите также Как Fedora обеспечивает безопасность доставки пакетов, в котором обсуждается Fedora, но инструменты и политика безопасности метаданных пакетов и репозиториев одинаковы.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.