انجمنهای فارسی اوبونتو
کمک و پشتیبانی => انجمن عمومی => نویسنده: mmrabbani در 20 اردیبهشت 1399، 03:24 بظ
-
سلام
من سرورهای متداول آپدیت اوبونتو مثل سرورهای زیر رو دیدم.
http://archive.ubuntu.com/
http://ir.archive.ubuntu.com/
متاسفانه همه http هستند و ssl ندارند و این باعث میشه اطلاعات در مسیر قابل شنود و تغییر باشه.
آیا سروری وجود داره که https باشه؟ چطور میشه این مشکل امنیت رو حل کرد؟
-
اگر در طی انتقال بستهها به هر نحوی دچار تغییر بشند apt از اونها استفاده نمیکنه و مجدد اقدام به دانلود میکنه.
درواقع مشکلی که شما تصور میکنید وجود داره قبلا به وسیله کلیدهای نامتقارن و امضا کردن لیست بستهها حل شده.
این لیست رو برای مثال ببینید:
http://archive.ubuntu.com/ubuntu/dists/bionic/InRelease
این لیست امضا شده و شما با کلیدهایی که روی سیستمتون هست میتونید صحت اون رو بررسی کنید (اتوماتیک رخ میده).
در این لیست به این خط توجه کنید:
9eae32e7c5450794889f9c3272587f5e 1019132 main/binary-amd64/Packages.xz
این لیست بستههایی هست که در دستهبندی main نسخه bionic قرار گرفتند.
از اینجا قابل دانلود هست:
http://archive.ubuntu.com/ubuntu/dists/bionic/main/binary-amd64/Packages.xz
اگر هش md5sum اون رو چک کنید معادل 9eae32e7c5450794889f9c3272587f5e هست. و خودش هم شامل لیست بستهها و مشخصات و هش اونها هست.
درواقع سیستم شما از هش بسته ها مطلع هست و اگر در اونها تغییری ببینه ازشون استفاده نمیکنه.
---
به هر حال اگر mirror با https میخواید. لیست mirrorها:
https://launchpad.net/ubuntu/+archivemirrors
-
ممنون از پاسخت کاملتون. بله با این مکانیزم میشه جلوی تغییر رو گرفت.
ولی فیلتر کردن و شنود توی http بهتر عمل میکنه و الان بیشتر از ۹۰٪ وب رفته روی https. البته هنوز این فیلتر هدفمند رو برای آپدیت اوبونتو ندیدم.
ممنون از لیست میرورها که ارسال کردید.
-
البته اینکه مخازن روی https نرفته کاملا هدفمند بوده، چون سربار HTTPS برای سرورها بالاتره، ولی خب با توجه به شرایط ایران، من هم باشم ترجیح میدم از HTTPS استفاده بکنم.