Sind alle Ubuntu-Update-Download-Server nur HTTP?

14

In den Software-Quellen von Update Manager besteht die Möglichkeit, einen Download-Server und ein Protokoll wie unten gezeigt auszuwählen.

Werden alle Updates nur über HTTP heruntergeladen?

Und wenn HTTPS (oder SFTP) nicht unterstützt wird, warum gibt es die Option? Verwandte Frage hier , obwohl es sich nur um vollständige ISO-Images handelt.

Wählen Sie einen Download-Server-Screenshot

update-manager security https Tom Brossman
quelle
1
Ändert sich das Protokoll nicht pro Download-Server? (wenn Sie ftp.rezopole.net wählen, würde ich erwarten, dass es zu ftp ändert). Und wenn der Server https unterstützt, würde ich erwarten, dass https angezeigt wird.
Rinzwind
@Rinzwind Nein, wenn Sie einen der FTP-Links auswählen, wird auch nur http angezeigt. Es stehen keine weiteren Optionen zur Auswahl.
Tom Brossman

Antworten:

9

Software unterstützte Protokolle

Möglicherweise kann die Software, die die Dropdown-Liste der Protokolle anzeigt, einen https-Spiegel unterstützen. Das betreffende Dropdown-Feld akzeptiert die folgenden gültigen Protokolle :

  • ftp
  • http
  • Datei
  • rsync
  • https

Dies ist im Quellcode des Software-Properties-GTK-Pakets beschrieben:

apt-get source software-properties-gtk
cd software-properties*/softwareproperties/gtk

Schauen Sie in die Datei DialogMirror.py - functiondef is_valid_mirror

es gibt ein aber ...

Doch in Wirklichkeit ist der öffentliche Spiegel Ubuntu unterstützt beschränkt auf http://, ftp://&rsync://

Die Anzahl der Spiegel, die Sie definieren können, ist begrenzt, wenn Sie einen neuen Spiegel definieren :

lokale Spiegel

Da die Software selbst die Protokolle nicht einschränkt, besteht eine Möglichkeit zum Herunterladen über HTTPS darin, Ihr eigenes lokales Repository und Ihren eigenen Spiegel zu definieren und zu verwalten. Wie immer haben wir eine gute Frage und Antwort, die mehrere zutreffende Antworten hat:

apt-mirrorist wahrscheinlich die beste Wahl hier. Installieren Sie das apt-mirrorPaket und überprüfen Sie die Manpage:

KONFIGURATIONSBEISPIELE Die mirror.list-Konfiguration unterstützt viele Optionen ...

   HTTPS with sending Basic HTTP authentication information (plaintext username and password) for all
   requests: (this was default behaviour of Wget 1.10.2 and prior and is needed for some servers with new
   version of Wget) set auth_no_challenge 1 deb https://user:[email protected]:443/debian stable main contrib
   non-free

   HTTPS without checking certificate: set no_check_certificate 1 deb https://example.com:443/debian stable
   main contrib non-free

Wie Sie sehen, können Sie einen lokalen HTTPS-Spiegel definieren - fügen Sie Ihren lokalen HTTPS-Spiegel hinzu und dieser sollte in der Liste der Spiegel angezeigt werden.

fossfreedom
quelle
Tolle Antwort, danke. Ich frage mich, wie anfällig Updates für Manipulationen sind. Da der HTTP-Datenverkehr von Ihrem ISP oder sogar von einem Café mit kostenlosem WLAN manipuliert werden kann, muss etwas vorhanden sein, um die Integrität der Downloads zu überprüfen. Wahrscheinlich hier gefragt und beantwortet (ich versuche eine Suche), aber ich verstehe noch nicht ganz, wie das funktioniert.
Tom Brossman
1
@TomBrossman - das System baut auf der Paketauthentifizierung auf - dies ist eine Frage
Antwort
Interessanter Guardian Project-Artikel hier über Paket-Metadatenverlust bei Nicht-HTTPS-Verbindungen.
Tom Brossman
0

Ubuntu besitzt diese Server nicht. Es liegt an ihnen zu entscheiden, ob sie https haben oder nicht. Die Option ist vorhanden, da ein Server möglicherweise auch eine https-Verbindung bereitstellt

user251046
quelle