Все ли серверы загрузки обновлений Ubuntu только HTTP?

14

В источниках программного обеспечения Update Manager существует возможность выбрать сервер загрузки и протокол, как показано ниже.

Все обновления загружаются только через HTTP?

И если HTTPS (или SFTP) не поддерживаются, почему существует опция? Связанный вопрос здесь , хотя он касается только полных образов ISO.

Выберите скриншот сервера загрузки

update-manager security https Том Броссман
источник
1
Протокол не меняется для каждого сервера загрузки? (если вы выберете ftp.rezopole.net, я ожидаю, что он изменится на ftp). И если сервер поддерживает https, я ожидаю, что он покажет https.
Rinzwind
@Rinzwind Нет, при выборе одной из ссылок ftp также отображается только http, других вариантов выбора нет.
Том Броссман

Ответы:

9

программно поддерживаемые протоколы

Потенциально да, программное обеспечение, показывающее раскрывающийся список протоколов, может поддерживать зеркало https - рассматриваемый раскрывающийся список принимает следующие действительные протоколы :

  • FTP
  • HTTP
  • файл
  • Rsync
  • HTTPS

Это подробно описано в исходном коде пакета software-properties-gtk:

apt-get source software-properties-gtk
cd software-properties*/softwareproperties/gtk

Посмотри в файле DialogMirror.py - функциюdef is_valid_mirror

есть но ...

Однако в действительности, общественное зеркало для Ubuntu поддерживает ограничен http://, ftp://&rsync://

Зеркала, которые вы можете определить, ограничены, когда вы определяете новое зеркало :

местные зеркала

Поэтому, поскольку само программное обеспечение не ограничивает протоколы, один из способов загрузки через HTTPS - это определение и поддержка вашего собственного локального хранилища и зеркала. Как обычно, у нас есть отличные вопросы и ответы, которые имеют несколько применимых ответов:

apt-mirrorэто, вероятно, ваш лучший выбор здесь. Установите apt-mirrorпакет и изучите его справочную страницу:

ПРИМЕРЫ КОНФИГУРАЦИИ Конфигурация mirror.list поддерживает множество опций ...

   HTTPS with sending Basic HTTP authentication information (plaintext username and password) for all
   requests: (this was default behaviour of Wget 1.10.2 and prior and is needed for some servers with new
   version of Wget) set auth_no_challenge 1 deb https://user:pass@example.com:443/debian stable main contrib
   non-free

   HTTPS without checking certificate: set no_check_certificate 1 deb https://example.com:443/debian stable
   main contrib non-free

Как видите, вы можете определить локальное зеркало HTTPS - добавьте ваше локальное зеркало HTTPS, и оно должно появиться в списке зеркал.

свобода ископаемых
источник
Отличный ответ, спасибо. Интересно, насколько уязвимы обновления для взлома? Поскольку вашим интернет-провайдером или даже кафе, предлагающим бесплатный Wi-Fi, может манипулировать HTTP-трафиком, должно быть что-то для проверки целостности загрузок. Вероятно, спросили и ответили здесь (я попробую поиск), но я не совсем понимаю, как это работает.
Том Броссман
1
@TomBrossman - система основана на аутентификации пакетов - это один из вопросов и ответов, который объясняет это askubuntu.com/questions/75565/…
fossfreedom
Интересная статья Guardian Project здесь о утечке метаданных пакета для соединений не-HTTPS.
Том Броссман
0

Ubuntu не владеет этими серверами. Они сами решают, будут ли у них https или нет. Опция существует, потому что сервер может также обеспечить соединение https

user251046
источник