Todos os servidores de download de atualizações do Ubuntu são apenas HTTP?

14

Nas fontes de software do Update Manager, existe a opção de escolher um servidor e protocolo de download como mostrado abaixo.

Todas as atualizações são baixadas apenas via HTTP?

E se não há suporte para HTTPS (ou SFTP), por que a opção existe? Pergunta relacionada aqui , embora lide apenas com imagens ISO completas.

Escolha uma captura de tela do servidor de download

update-manager security https Tom Brossman
fonte
1
O protocolo não muda por servidor de download? (se você escolher ftp.rezopole.net, esperaria que fosse alterado para ftp). E se o servidor suportar https, eu esperaria que ele mostrasse https.
Rinzwind 4/14/14
@Rinzwind Não, selecionar um dos links ftp também exibe apenas http, não há outras opções para escolher.
Tom Brossman

Respostas:

9

protocolos suportados por software

Potencialmente sim, o software que mostra a lista suspensa de protocolos pode suportar um espelho https - a caixa suspensa em questão aceita os seguintes protocolos válidos :

  • ftp
  • http
  • Arquivo
  • rsync
  • https

Isso está detalhado no código-fonte do pacote software-properties-gtk:

apt-get source software-properties-gtk
cd software-properties*/softwareproperties/gtk

Procure no arquivo DialogMirror.py - funçãodef is_valid_mirror

existe um mas ...

No entanto, na realidade, os espelhos públicos Ubuntu suportes é limitado a http://, ftp://&rsync://

Os espelhos que você pode definir são limitados quando você define um novo espelho :

espelhos locais

Portanto, como o próprio software não limita os protocolos, uma maneira de fazer o download por HTTPS é definir e manter seu próprio repositório e espelho local. Como sempre, temos ótimas perguntas e respostas com várias respostas aplicáveis:

apt-mirroré provavelmente a sua melhor aposta aqui. Instale o apt-mirrorpacote e examine sua página de manual:

EXEMPLOS DE CONFIGURAÇÃO A configuração mirror.list suporta muitas opções ...

   HTTPS with sending Basic HTTP authentication information (plaintext username and password) for all
   requests: (this was default behaviour of Wget 1.10.2 and prior and is needed for some servers with new
   version of Wget) set auth_no_challenge 1 deb https://user:[email protected]:443/debian stable main contrib
   non-free

   HTTPS without checking certificate: set no_check_certificate 1 deb https://example.com:443/debian stable
   main contrib non-free

Como você pode ver, você pode definir um espelho HTTPS local - adicione seu espelho HTTPS local e ele deve aparecer na lista de espelhos.

liberdade de expressão
fonte
Ótima resposta, obrigado. Gostaria de saber como as atualizações vulneráveis ​​são para adulterar então? Como o tráfego HTTP pode ser manipulado pelo seu ISP, ou mesmo por uma cafeteria que oferece Wi-Fi gratuito, deve haver algo para verificar a integridade dos downloads. Provavelmente perguntado e respondido aqui (vou tentar uma pesquisa), mas ainda não estou entendendo como isso funciona.
Tom Brossman
1
@TomBrossman - o sistema se baseia em autenticação pacote - este é um Q & A que explica este askubuntu.com/questions/75565/...
fossfreedom
Artigo interessante do Guardian Project aqui sobre vazamento de metadados do pacote para conexões não HTTPS.
Tom Brossman
0

O Ubuntu não é o proprietário desses servidores, cabe a eles decidir se terão https ou não. A opção existe porque um servidor também pode fornecer conexão https

user251046
fonte