Tham gia Đăng nhập
Điểm:28
SydMK avatar Server

Tại sao CentOS phản ánh HTTP chứ không phải HTTPS?

lá cờ us
SydMK

Theo như tôi biết, HTTP có xu hướng tấn công trung gian. Như vậy, các kho lưu trữ trong Alpine Linux hoặc là CentOS Gương không phải là HTTPS.

Trước đây, việc có HTTPS từng là một vấn đề tốn kém. Nó tốn thời gian CPU của máy chủ và chứng chỉ không miễn phí. Nhưng bây giờ là năm 2022 và chúng tôi có nhiều cách để khắc phục những sự cố đó và bảo mật luôn được ưu tiên hàng đầu hơn bao giờ hết!

Làm thế nào chúng ta có thể có được các tệp nhị phân thông minh hơn?

Đây cũng là một vấn đề trong cộng đồng Linux rộng lớn hơn? I E., Ubuntu, Linux bạc hà, mởSUSE, vân vân.?

4675
0 + 0
xu
dave_thompson_085 avatar
lá cờ jp
dave_thompson_085
Xem https://security.stackexchange.com/questions/18853/why-arent-application-downloads-routinely-done-over-https
2
Hồi đáp
lá cờ ad
Randall
Nhiều máy nhân bản CentOS là *cả* HTTP và HTTPS (và tất cả các máy nhân bản Luồng CentOS 9 đều là cả hai), vì vậy chỉ cần chọn một máy nhân bản HTTPS để sử dụng.
2
Hồi đáp
MonkeyZeus avatar
lá cờ in
MonkeyZeus
Nếu máy nhân bản yêu cầu thông tin đăng nhập qua HTTP và bạn tuân thủ và/hoặc bạn không xác minh tổng kiểm tra sau khi tải xuống thì bạn có thể không phải là đối tượng mục tiêu của CentOS.
0
Hồi đáp
lá cờ cn
AndreKR
@Randall Vì OP cũng đề cập đến Ubuntu, rất nhiều máy nhân bản Ubuntu không may chỉ có HTTP. Tôi không thể sử dụng chúng vì ISP của tôi quét vi-rút (có mục đích tốt?) trên tất cả lưu lượng HTTP và thường chặn một số gói nhất định là dương tính giả.
0
Hồi đáp
Điểm:35
avatar Server
lá cờ in
Virsacer

Các gói thực sự đã được ký, do đó một thao tác sẽ được chú ý.

Ngoài ra các gói không phải là bí mật, vì vậy không cần phải mã hóa chúng trên chuyển khoản.

Với khối lượng tải xuống từ máy nhân bản, điều này có thể giúp họ tiết kiệm rất nhiều tài nguyên.

Nó giống nhau trên Debian và Ubuntu.

0 + 0
lá cờ tr
Andrew Savinykh
Có thể nghi ngờ rằng "điều này có lẽ giúp họ tiết kiệm rất nhiều tài nguyên" https://istlsfastyet.com/
13
Hồi đáp
dave_thompson_085 avatar
lá cờ jp
dave_thompson_085
Ngoài ra, đối với người dùng trong (và sử dụng mạng của) doanh nghiệp, trường học hoặc tổ chức khác kiểm tra lưu lượng mạng, việc kiểm tra như vậy là minh bạch đối với HTTP, nhưng HTTPS phải được giải mã rồi mã hóa lại bằng một chứng chỉ khác mà phần mềm máy khách có thể không làm được nhận ra, làm cho việc bảo trì hệ thống không thành công, điều này thường không tốt.
1
Hồi đáp
lá cờ et
Moo
Phân tích lưu lượng truy cập là một công cụ tuyệt vời để khám phá những gì máy chủ đang cài đặt và do đó những gói có khả năng dễ bị tấn công mà nó đang kéo - vì vậy tôi không đồng ý với khẳng định của bạn rằng “các gói không phải là bí mật nên không cần mã hóa chúng”.
11
Hồi đáp
SydMK avatar
lá cờ us
SydMK
Cảm ơn @Virsacer và tất cả những người biên tập câu hỏi và câu trả lời. Làm rõ thêm một câu trả lời: Có thể kiểm tra tính toàn vẹn của gói theo cách thủ công không? Theo quan điểm của tôi, gói và Băm có thể được thay đổi thông qua một người đàn ông ở giữa cuộc tấn công. Ngoài ra, hệ điều hành có tự động kiểm tra chữ ký trong khi cài đặt không?
0
Hồi đáp
lá cờ au
Jon Bentley
@SydMK Nếu một quá trình truyền được ký và kẻ tấn công không có bản sao khóa riêng của người gửi và bạn có một bản sao (không bị giả mạo) của khóa chung của người gửi, thì kẻ tấn công không thể ký một quá trình truyền. đã thay đổi thông qua MiTM. Do đó, bạn có thể phát hiện ra sự thay đổi như vậy bằng cách sử dụng khóa công khai của người gửi để xem liệu họ có phải là người đã ký thay đổi đó hay không.
0
Hồi đáp
lá cờ my
Aron
@AndrewSavinykh Thời gian CPU của AES không phải là thứ duy nhất làm tăng tài nguyên. https vốn dĩ chống MITM khiến các proxy tăng tốc http không thể giảm tải máy chủ. Trình tăng tốc HTTP như Squid.
5
Hồi đáp
lá cờ mx
Austin Hemmelgarn
@Moo đã đúng, mối đe dọa tiết lộ thông tin chính mà HTTPS sẽ bảo vệ ở đây không phải là gói xyz có một số nội dung cụ thể, mà là một hệ thống tại địa chỉ IP 192.0.2.1 đã tải xuống gói xyz (và do đó có thể đã cài đặt gói xyz), đây là thông tin cực kỳ hữu ích cho ai đó đang tấn công hệ thống đó.
0
Hồi đáp
lá cờ cn
Einacio
@moo Tôi đã đọc trước đó rằng phân tích lưu lượng truy cập vẫn cho phép bạn biết những gì được tải xuống bằng https vì bạn có thể quan sát kích thước tải xuống và điều đó không có gì bí mật. Có thể bạn không thể phân biệt các gói theo trọng lượng trong mọi trường hợp, nhưng bạn có thể đưa ra các giả định (nếu bạn đã cài đặt 3 mô-đun php, thì mô-đun tiếp theo có nhiều khả năng là một mô-đun khác hơn là chương trình Paint nếu tôi nghi ngờ giữa 2 mô-đun đó)
1
Hồi đáp
lá cờ et
Moo
Phân tích lưu lượng truy cập @Einacio của các luồng được mã hóa có thể và vẫn gợi ra thông tin có thể sử dụng được (xem phân tích các đường truyền được mã hóa đến và từ các gián điệp trong chiến tranh lạnh), nhưng về cơ bản vẫn khó xác định các gói riêng lẻ được tải xuống - với http, thông tin cho kẻ tấn công ở ngay đó và họ có thể chuyển thẳng sang "ồ, máy chủ web đó đang sử dụng gói X dễ bị khai thác Y" mà không cần nỗ lực phân tích thêm. Bảo mật không phải là bảo vệ hoàn toàn, mà luôn là các lớp để gây khó khăn hơn cho những kẻ tấn công.
0
Hồi đáp
trognanders avatar
lá cờ ni
trognanders
Nhiều máy nhân bản Ubuntu hiện trả lời trên HTTPS, cho bất kỳ ai muốn nhập nó vào.
0
Hồi đáp
Mark avatar
lá cờ tz
Mark
@AustinHemmelgarn, HTTPS không ẩn kích thước chuyển và chỉ riêng kích thước chuyển sẽ cho bạn biết gói nào đã được tải xuống cho tất cả trừ các tệp nhỏ nhất.
0
Hồi đáp
lá cờ cn
AndreKR
@trognanders Đó không phải là kinh nghiệm của tôi.Tôi đã phải tìm kiếm cụ thể trên Google để tìm một chương trình cho phép HTTP vì ISP của tôi chạy quét vi-rút (có mục đích tốt?) Trên lưu lượng HTTP và chặn một số gói là dương tính giả.
0
Hồi đáp
trognanders avatar
lá cờ ni
trognanders
@AndreKR Danh sách máy nhân bản cho CentOS chỉ định cái nào thực hiện HTTPS, vì vậy sẽ khá dễ dàng nếu không có Google. Ngoài ra, lạc đề, nhưng đây là chiếc gương tôi luôn sử dụng khi có thể. Nó được tổ chức bởi một trường đại học địa phương. https://mirror.arizona.edu/
0
Hồi đáp
Điểm:20
avatar Server
lá cờ cn
Bob

Từ góc độ kỹ thuật, thực tế là nội dung HTTP đơn giản có thể dễ dàng được lưu vào bộ đệm ẩn bởi các máy chủ proxy có thể tạo ra một chút khác biệt khi bạn cần quản lý và cập nhật nhiều hệ thống.

Việc thiết lập máy nhân bản cục bộ thường là quá mức cần thiết và không thực tế, nhưng khi máy chủ proxy của bạn có thể cung cấp các bản cập nhật từ bộ đệm ở tốc độ LAN, thay vì mọi máy khách trong mạng của bạn kết nối với nguồn trực tuyến...

0 + 0
mckenzm avatar
lá cờ in
mckenzm
Tôi muốn có một máy nhân bản cục bộ ở tốc độ 10Mb/giây hơn là một máy nhân bản từ xa ở tốc độ 9600bps.
0
Hồi đáp
lá cờ sn
Peter Mortensen
Là một cái gì đó thiếu ở cuối? Ví dụ: ngụ ý *không quá mức cần thiết* không rõ ràng.
0
Hồi đáp
Điểm:14
avatar Server
lá cờ cn
rems4e

Các gói được ký bằng phương pháp ngoài kênh (GPG các khóa được lưu trữ trên hệ thống của bạn).

Công dụng chính của việc có HTTP là giúp dễ dàng có proxy phụ thuộc giữa Internet và máy của bạn, điều này có thể tiết kiệm rất nhiều băng thông và thời gian bằng cách chỉ phải tải xuống một lần (lần đầu tiên) các bản nâng cấp có khả năng là 1000 (ảo ) máy móc.

HTTPS ngăn chặn điều đó (không hoàn toàn, nhưng làm cho nó khó hơn), bởi vì được mã hóa nối đầu, bạn không thể dễ dàng đặt thứ gì đó có thể chặn các gói đã tải xuống để lưu trữ và phân phối chúng sau này.

0 + 0
Điểm:2
avatar Server
lá cờ in
NiKiZe

Lỗi thời gian hệ thống có thể gây ra sự cố với HTTPS. Nó không phải là một vấn đề thực sự, nhưng đôi khi nó không cần thiết.

Một hệ thống lỗi thời không có chứng chỉ đáng tin cậy là một điều khó khăn để cập nhật chúng.

Những tấm gương cần phản hồi giống nhau bất kỳ tên máy chủ.

Phải mất thời gian để thiết lập các máy nhân bản phân tán với các chứng chỉ hợp lệ.

0 + 0
Điểm:2
trognanders avatar Server
lá cờ ni
trognanders

Rất nhiều máy nhân bản sẽ phản hồi trên HTTPS nếu bạn thay đổi URL, ngay cả khi liên kết tới chúng chỉ là HTTP. Dùng cái này còn hơn là không verify gì cả mà đặt niềm tin tuyệt đối vào mirror host. Việc sử dụng chữ ký GPG chính thức để xác minh các lượt tải xuống sẽ chỉ tạo niềm tin cho các bên mà bạn đã hoàn toàn tin tưởng.

Nếu bạn làm theo hướng dẫn tại đây, bạn chỉ cần tin tưởng vào chứng chỉ cho kinh điển.com, Ví dụ. https://ubuntu.com/tutorials/how-to-verify-ubuntu

0 + 0
Điểm:1
avatar Server
lá cờ cn
marbu

Bản phân phối CentOS sử dụng GPG để ký cả gói rpm và siêu dữ liệu kho lưu trữ yum/dnf, để cuộc tấn công MITM sẽ bị ngăn chặn.

Xem thêm Cách Fedora đảm bảo giao hàng trọn gói, đang thảo luận về Fedora, nhưng chính sách và công cụ bảo mật siêu dữ liệu gói và kho lưu trữ là như nhau.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.