دریافت آپدیت های امنیتی دبیان پایدار

[milad.fashi]

سلام.من با IP ایران متاسفانه نمیتونم آپدیت های آدرس http://deb.debian.org/debian-security  رو دریافت کنم.
آیا میتونم از Mirror های داخل ایران حتی برای آپدیت های امنیتی استفاده کنم !؟

[دانیال بهزادی]

ندیدم داشته باشن.

[milad.fashi]

چه Mirror هایی بروزرسلنی های امنیتی رو دارن ؟

[md2014]

منم همین مشکلو دارم.
مطمئن ترین راه استفاده از فیلترشکنه.
اما با این اوضاع خیلی سخته.مخصوصا اگر حجم دانلود زیاد باشه.
منم نتونستم از میرورهای داخلی اپدیت امنیتی بگیرم.
نهایتا میروری پیدا کردم که هم سرعتش خوبه هم روی isp من فیلتر نیست.

https://mirror.yandex.ru/debian-security/dists

از اونجایی که میزبان کمپانی یندکس کشور روسیه است ، خیلی نمیشه امنیتشو تضمین کرد!

[milad.fashi]

خیلی ممنون از راهنمایی دوستان
پس به قسمت امنیتی فایل source دست نمیزنم.و سعی میکنم IP رو عوض کنم.

[Dragon-]

سلام.من با IP ایران متاسفانه نمیتونم آپدیت های آدرس http://deb.debian.org/debian-security  رو دریافت کنم.
آیا میتونم از Mirror های داخل ایران حتی برای آپدیت های امنیتی استفاده کنم !؟

فکر کنم https://a.docker-registry.ir/debian اونها رو داره. ولی قبلا یکمی کند بود. الان نمی‌دونم.

...
از اونجایی که میزبان کمپانی یندکس کشور روسیه است ، خیلی نمیشه امنیتشو تضمین کرد!

بسته‌هایی که توی مخازن هست امضای دیجیتال دارند. وقتی که APT یه بسته‌‌ای رو از اینترنت می‌گیره، امضای اون رو بررسی می‌کنه و اگه معتبر نباشه نصبش نمی‌کنه.
اگه یه آینه تغییری توی بسته بده، مجبوره اون رو دوباره امضا کنه تا توسط APT قبول بشه. کلید‌های gpg هم که باهاش امضا انجام میشه فقط دست دبیان هست.

بسته‌هایی که از اون مخزن می‌گیرید یا درست هستند، یا اینکه APT اونها رو قبول نمی‌کنه.

[milad.fashi]

خیلی جالب بود.پس خود. Apt میتونه امنیت ما رو تامین کنه.حتی اگر mirror ما معتبر نباشه و احیانا بسته های توی مخازن ش مشکل داشته باشه.apt با بررسی امضای هر بسته اگه امضا بسته معتبر نباشه از نصب ش جلوگیری میکنه.
اما وقتی امضا معتبر نباشه apt چه پیغام خطایی رو مینویسه که به ما اطلاع بده بسته معتبر نیست ؟
اینطور پیغامی میده ؟
GPG error: http://ppa.launchpad.net trusty InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 8BAF9A6F
البته راه حل دو زدنش رو هم تو فروم askubuntu.com بود ولی  فکر کنم دور زدنش اصلا از نظر امنیتی کار درست نیست!؟

[دانیال بهزادی]

این خطا برای وقتیه که کلیدش رو نداری. یه خطای دیگه هست برای وقتی که کلیدش رو داری، ولی مخزن با کلید اشتباهی امضا شده.

[milad.fashi]

این خطا برای وقتیه که کلیدش رو نداری. یه خطای دیگه هست برای وقتی که کلیدش رو داری، ولی مخزن با کلید اشتباهی امضا شده.

من که کلا گیج شدم  این خطای کلید عمومی(Public key) هستش !؟
ولی مخزن اگه با کلید اشتباهی امضاء شده باشه خطای کلید خصوصی(Private key) رو میده !؟
اصلاً چرا کلیدش رو نداریم !؟ دلیلش چی میتونه باشه !؟

[دانیال بهزادی]

موقع به‌روز شدن مخزن، امضای اون با کلید عمومیش مطابقت داده می‌شه تا مظمئن شیم مخزن درستی رو داریم می‌گیریم. اگه کلید عمومیش رو رایانهٔ ما نباشه،‌اون خطایی که گفتی رو می‌ده. ولی اگه امضا اشتباه باشه، یه خطای بزرگ‌تر و قرمز می‌ده بهت.

[Dragon-]

من که کلا گیج شدم  این خطای کلید عمومی(Public key) هستش !؟
ولی مخزن اگه با کلید اشتباهی امضاء شده باشه خطای کلید خصوصی(Private key) رو میده !؟

وقتی که چیز‌ها با یه کلید امضا شدند اما شما کلید عمومی مربوط رو ندارید تا صحت امضا رو بررسی کنید، خطایی شبیه این میده:

کد: [انتخاب]

GPG error: http://ppa.launchpad.net trusty InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 8BAF9A6F

وقتی که یه بسته امضا شده و کلید عمومی متناظر رو هم دارید اما موقع بررسی، نامعتبر ارزیابی میشه، اونوقت خطایی شبیه به این می‌گیرید

کد: [انتخاب]

W: GPG error: http://speglar.simnet.is olivia Release: The following signatures were invalid: BADSIG 3EE67F3D0FF405B2 Clement Lefebvre (Linux Mint Package Repository v1) <root@linuxmint.com>


اصلاً چرا کلیدش رو نداریم !؟ دلیلش چی میتونه باشه !؟

کدوم کلید رو ندارید؟ کلید خصوصی؟ خب چرا باید داشته باشید؟

فکر کنم درست نمی‌دونید امضای دیجیتال چجوری کار می‌کنه.
اینجا رو ببینید.

قبلش هم باید نحوه کار رمزنگاری نامتقارن رو بفهمید.

[milad.fashi]

نه کلید عمومی رو گفتم.اونو چرا نداریم ؟

[Dragon-]

کلید‌های عمومی خود توزیع رو دارید، توی مسیر زیر قرار دارند.

کد: [انتخاب]

/etc/apt/trusted.gpg.d/

اگه کلیدی اونجا باشه، APT هر بسته‌ای از هر مخزنی رو که با کلید خصوصی متناظر اون کلید عمومی امضا شده قبول می‌کنه.
به همین دلیل دبیان پیشنهاد می‌کنه کلیدهای غیررسمی رو اونجا نذارید.

اگه می‌خواهید یه کلید فقط برای یه مخزن خاص کار بده، نباید اون رو داخل مسیر بالا بذارید. باید اون رو یه جای دیگه بذارید و همونجا که مخزن رو تعریف می‌کنید، بگید فایل‌های این مخزن با چه کلیدی بررسی بشن.

[milad.fashi]

خیلی توضیحاتتون خوب بود.ممنون کلی چیز یاد گرفتم