Чи всі HTTP-сервери для завантаження оновлень Ubuntu тільки?

14

У джерелах програмного забезпечення Update Manager існує можливість вибору сервера завантаження та протоколу, як показано нижче.

Чи завантажуються всі оновлення лише через HTTP?

І якщо HTTPS (або SFTP) не підтримуються, чому опція існує? Пов'язаний з цим питання тут , хоча це справа тільки з повними образами ISO.

Виберіть скріншот сервера завантаження

update-manager security https

— Том Броссман
джерело

1

Чи не змінюється протокол на сервері завантаження? (якщо ви виберете ftp.rezopole.net, я б очікував, що він зміниться на ftp). І якщо сервер підтримує https, я б очікував, що він покаже https.

— Rinzwind

@Rinzwind Ні, якщо вибрати одне з ftp-посилань, також відображається лише http, інших варіантів для вибору немає.

— Том Броссман,

9

програмно підтримувані протоколи

Потенційно так, програмне забезпечення, що показує спадні протоколи, може підтримувати дзеркало https - розкривне поле, про яке йдеться, приймає такі дійсні протоколи :

ftp
http
файл
rsync
https

Це детально описано у вихідному коді пакета програм-властивостей-gtk:

apt-get source software-properties-gtk
cd software-properties*/softwareproperties/gtk

Подивіться у файл DialogMirror.py - функціяdef is_valid_mirror

є але ...

Однак насправді, громадська дзеркало для Ubuntu підтримує обмежений http://, ftp://&rsync://

Дзеркала, які ви можете визначити, обмежені під час визначення нового дзеркала :

https://launchpad.net/ubuntu/+newmirror

місцеві дзеркала

Тому, оскільки саме програмне забезпечення не обмежує протоколи, одним із способів завантаження через HTTPS є визначення та підтримка власного локального сховища та дзеркала. Як завжди, у нас є чудові питання, які відповідають на кілька відповідей:

Як створити локальний сховище APT?

apt-mirror- це, мабуть, найкраща ставка тут. Встановіть apt-mirrorпакет і вивчіть його довідкову сторінку:

ПРИКЛАДИ КОНФІГУРАЦІЇ Конфігурація mirror.list підтримує безліч опцій ...

   HTTPS with sending Basic HTTP authentication information (plaintext username and password) for all
   requests: (this was default behaviour of Wget 1.10.2 and prior and is needed for some servers with new
   version of Wget) set auth_no_challenge 1 deb https://user:pass@example.com:443/debian stable main contrib
   non-free

   HTTPS without checking certificate: set no_check_certificate 1 deb https://example.com:443/debian stable
   main contrib non-free

Як бачите, ви можете визначити місцеве дзеркало HTTPS - додайте своє місцеве дзеркало HTTPS, і воно повинно з’явитися у списку дзеркал.

— fossfreedom
джерело

Чудова відповідь, дякую. Цікаво, наскільки вразливими є оновлення щодо фальсифікацій? Оскільки трафіком HTTP може управляти ваш Інтернет-провайдер або навіть кав'ярня, яка пропонує безкоштовний Wi-Fi, має бути щось на місці, щоб перевірити цілісність завантажень. Напевно, тут запитували та відповіли (спробую пошукати), але я не зовсім розумію, як це працює.

— Том Броссман,

1

@TomBrossman - система базується на аутентифікації пакету - це одне запитання, яке пояснює це askubuntu.com/questions/75565/…

— fossfreedom

Тут цікава стаття проекту Guardian про витік метаданих пакета для з'єднань, які не є HTTPS.

— Том Броссман

0

Ubuntu не володіє цими серверами. Саме вони вирішують, матимуть вони https чи ні. Ця опція існує тому, що сервер також може забезпечити https-з'єднання

— користувач251046
джерело