Kurztipp: Debian-Repositorys über https nutzen

Über diesen Eintrag im debianforum kam ich auf die Idee, soweit möglich, meine sources.list auf https umzustellen.

Dazu benötigt man das Paket apt-transport-https:

    # apt install apt-transport-https

Nun kann man überprüfen, welches Repository über https erreichbar ist:

    $ nmap -p 443 ftp.de.debian.org

    Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-19 10:46 CET
    Nmap scan report for ftp.de.debian.org (141.76.2.4)
    Host is up (0.22s latency).
    PORT    STATE SERVICE
    443/tcp open  https

    Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds

    $ nmap -p 443 security.debian.org

    Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-19 10:46 CET
    Nmap scan report for security.debian.org (212.211.132.250)
    Host is up (0.21s latency).
    Other addresses for security.debian.org (not scanned): 195.20.242.89 212.211.132.32 217.196.149.233 2001:a78:5:1:216:35ff:fe7f:6ceb 2a02:16a8:dc41💯:233 2001:a78:5:0:216:35ff:fe7f:be4f
    rDNS record for 212.211.132.250: lobos.debian.org
    PORT    STATE  SERVICE
    443/tcp closed https

    Nmap done: 1 IP address (1 host up) scanned in 0.94 seconds

An diesen beiden Beispielen ist zu sehen, dass ftp.de.debian.org über https verfügbar ist und security.debian.org nicht.

Nun kann man ftp.de.debian.org von http auf https umstellen:

    # sed -i s#http://ftp.de.debian.org#https://ftp.de.debian.org#g /etc/apt/sources.list

Ich benutze in dem Fall # statt / als Trennzeichen bei sed um nicht die ganzen / in den Adressen escapen zu müssen. ;-)

Um auch security-updates per https zu beziehen muss auf den Server https://ftp.de.debian.org/debian-security gewechselt werden:

    # sed -i s#http://security.debian.org#https://ftp.de.debian.org/debian-security#g /etc/apt/sources.list

Nun kann man sich fragen wozu man die Pakete über https herunterladen sollte wenn über die Prüfsummen MITM-Angriffe bereits verhindert werden. Es kann aber auch mal Bugs beim Überprüfen der Signaturen geben, weshalb es nicht schaden kann auch den Transportweg abzusichern und MITM-Angriffe weiter zu erschweren.

[Update 2017-09-05]

Ich hatte ganz vergessen nachzutragen, dass ich in einem Kommentar darauf hingewiesen wurde, dass es die security updates unter https://ftp.de.debian.org/debian-security auch über https gibt. Ich habe es nun nachgetragen.

Inhalt

Teilen: E-Mail

Hinterlasse einen Kommentar oder diskutiere im OSBN-Chat.


In den Kommentaren können folgende Formatierungen genutzt werden.