Kurztipp: Debian-Repositorys über https nutzen

Über diesen Eintrag im debianforum kam ich auf die Idee, soweit möglich, meine sources.list auf https umzustellen.

Dazu benötigt man das Paket apt-transport-https:
::: {.highlight} # apt install apt-transport-https :::
Nun kann man überprüfen, welches Repository über https erreichbar ist:

::: {.highlight} $ nmap -p 443 ftp.de.debian.org

Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-19 10:46 CET
Nmap scan report for ftp.de.debian.org (141.76.2.4)
Host is up (0.22s latency).
PORT    STATE SERVICE
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds

$ nmap -p 443 security.debian.org

Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-19 10:46 CET
Nmap scan report for security.debian.org (212.211.132.250)
Host is up (0.21s latency).
Other addresses for security.debian.org (not scanned): 195.20.242.89 212.211.132.32 217.196.149.233 2001:a78:5:1:216:35ff:fe7f:6ceb 2a02:16a8:dc41💯:233 2001:a78:5:0:216:35ff:fe7f:be4f
rDNS record for 212.211.132.250: lobos.debian.org
PORT    STATE  SERVICE
443/tcp closed https

Nmap done: 1 IP address (1 host up) scanned in 0.94 seconds

:::

An diesen beiden Beispielen ist zu sehen, dass ftp.de.debian.org über https verfügbar ist und security.debian.org nicht.

https umstellen:
::: {.highlight} # sed -i s#http://ftp.de.debian.org#https://ftp.de.debian.org#g /etc/apt/sources.list :::

.highlight} # sed -i s#http://ftp.de.debian.org#https://ftp.de.debian.org#g /etc/apt/sources.list :::

Ich benutze in dem Fall # statt / als Trennzeichen bei sed um nicht die ganzen / in den Adressen escapen zu müssen. ;-)

https://ftp.de.debian.org/debian-security gewechselt werden:
::: {.highlight} # sed -i s#http://security.debian.org#https://ftp.de.debian.org/debian-security#g /etc/apt/sources.list :::

s://ftp.de.debian.org/debian-security#g /etc/apt/sources.list :::

Nun kann man sich fragen wozu man die Pakete über https herunterladen sollte wenn über die Prüfsummen MITM-Angriffe bereits verhindert werden. Es kann aber auch mal Bugs beim Überprüfen der Signaturen geben, weshalb es nicht schaden kann auch den Transportweg abzusichern und MITM-Angriffe weiter zu erschweren.

[Update 2017-09-05]

Ich hatte ganz vergessen nachzutragen, dass ich in einem Kommentar darauf hingewiesen wurde, dass es die security updates unter https://ftp.de.debian.org/debian-security auch über https gibt. Ich habe es nun nachgetragen.

Inhalt

Teilen: E-Mail

Hinterlasse einen Kommentar oder diskutiere im OSBN-Chat.

In den Kommentaren können folgende Formatierungen genutzt werden.