是否apt-get
使用https或任何类型的加密?有没有一种方法可以配置它以使用它?
apt-get
(以及其他程序包处理命令,它们是同一APT库的前端)可以使用HTTP,HTTPS和FTP(以及已挂载的文件系统)。如果您https://
在/etc/apt/sources.list
和中指定URL /etc/apt/sources.list.d/*
,则APT将使用HTTPS。
APT验证软件包的签名。因此,您不必具有提供数据身份验证的运输形式。如果攻击者修改了您要下载的文件,则会注意到这一点。使用签名验证比使用HTTPS连接更好,因为它可以检测到正在下载的服务器上的攻击,而不仅仅是传输中的攻击。
更准确地说,包的(简化)数据流如下:
HTTPS确保第4步正确进行。程序包签名可确保正确执行步骤2至4。
实际上,HTTPS对于第4步有一个小的好处:程序包签名仅确保程序包是真实的。步骤4中的攻击者可能会冒充合法服务器并提供过时的程序包版本。例如,攻击者可能阻止您下载任何安全更新,以期利用计算机上的漏洞(如果该漏洞不是用于攻击的,则应予以修补)。这不是一个非常现实的情况,因为它需要一个活动的攻击者(因此必须是可以控制您的Internet连接的人),但是原则上可能会发生。
HTTPS的另一个好处是,如果您试图掩盖从正在监听您的网络连接的人那里下载Ubuntu软件包的事实。即使这样,窃听者仍可以看到您要连接到的主机。如果您连接到Ubuntu镜像并下载数百兆字节,则很明显,您正在下载Ubuntu软件包。窃听者还可以从文件的大小中大致找出要下载的软件包。因此,HTTPS仅在您从还提供其他类似大小文件的服务器上下载时才有用–我看不到第三方包,只有在非常特殊的情况下才有意义。
重申一下:HTTPS的通常好处是,当您下载Ubuntu软件包时,它知道您已连接到真实服务器,因此没有用。包上的签名验证比HTTPS可以提供更强大的保证。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句