Forum Linux.debian/ubuntu Sources.list debian.security.org

Posté par . Licence CC by-sa
Tags : aucun
3
1
déc.
2017

Bonjour,
Je voulais savoir si il était normal que http://security.debian.org/ ne soit proposer ou imposer en https dans le sources.list de debian ?

Car, personnellement, je ne vois pas l'intérêt de mettre un dépot en https, comme par ex : https://pkg.adfinis-sygroup.ch/debian/ , si le dépot security de debian ne le soit pas.

  • # la sécurité est gérée au niveau paquet

    Posté par (page perso) . Évalué à 6 (+4/-0).

    La sécurité est gérée au niveau du paquet, chaque paquet est signé et peut être vérifié même s’il est tombé du camion ou distribué par pigeon voyageur, tu sauras qu’il est légitime.

    Ça permet à n’importe qui de faire un dépôt et à n’importe qui d’utiliser le dépôt de n’importe qui. Si Donald Trump fait confiance à la signature de Debian et au protocole de signature employé, il peux utiliser sans crainte les paquets hébergés sur les serveurs du KGB et acheminés à dos de chameau de Daech.

    Ça signifie aussi que si le serveur security.debian.org est compromis, les paquets ne le seront pas.

    C’est de la sécurité par la méthode “je n’ai pas confiance dans le transporteur, y compris moi-même”.

    Si je te sors de mon blouson une clé usb contenant un miroir du dépôt security.debian.org, tu peux vérifier que chaque paquet fourni est légitime.

    Https ne sert donc pas à beaucoup de choses dans ce scenario (à part coûter plus cher en CPU) : la valise a un mécanisme qui te garanti qu’elle n’a pas été compromise et que le contenu n’a pas été inchangé, même si t’as pas confiance dans le porteur ou que la valise a été perdue et retrouvée. C’est aussi pour cela que tu peux faire confiance au miroir de ton université, de ton entreprise, de ton fablab, de ton fournisseur d’accès, de ton hébergeur (et ça leur rendra service en coût de peering, et ce sera plus écologique).

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: la sécurité est gérée au niveau paquet

      Posté par (page perso) . Évalué à 3 (+1/-0).

      Note que s’il est recommandé d’utiliser le dépôt security de debian, c’est pour t’assurer d’avoir le correctif quand il est prêt, pas de devoir attendre que ton miroir se synchronise. Mais c’est tout.

      Note qu’en utilisant un dépôt debian en http, tu permets à ton fournisseur d’accès de monter un proxy cache transparent pour ce dépôt, sans te mettre en danger (et en lui faisant faire des économies, et c’est probablement plus écologique aussi), ce qui te permet de télécharger les mises-à-jour de sécurité de Debian directement depuis les disques dur de ton FAI sans avoir à changer l’adresse du dépôt sécurité (en utilisant bien security.debian.org).

      Donc en fait, le dépôt security.debian.org en http résout à la fois la problématique du “délai de livraison” et du “peering”, car les utilisateurs utilisent l’adresse officielle et pas un miroir qui pourrait mettre du temps à se mettre à jour, et le fournisseur d’accès peut faire un proxy-cache pour réduire ses coûts de peering.

      ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: la sécurité est gérée au niveau paquet

      Posté par (page perso) . Évalué à 4 (+3/-0).

      Précision : La sécurité est gérée au niveau du dépôt et non du paquet.

      Pour chaque distribution, c'est le fichier Release qui est signé :

      • signature détachée dans Release.gpg
      • signature inline dans InRelease

      et qui permet de vérifier les fichiers Packages et Sources pour chaque composant et architecture, qui à leur tour référencent les paquets individuels.

      Debian Consultant @ DEBAMAX

  • # gpg

    Posté par . Évalué à 3 (+1/-0).

    Le sujet a déjà été discuté : https://linuxfr.org/users/denisdordoigne/journaux/debian-va-debrancher-ses-depots-ftp#comment-1701244

    En gros, la sécurité n'est pas dans le transport, mais dans la signature GPG des paquets.

  • # deb.debian.org

    Posté par (page perso) . Évalué à 4 (+1/-0). Dernière modification le 02/12/17 à 10:57.

    Voir https://deb.debian.org/

    The redirection service is also available on HTTPS, so with the apt-transport-https package installed, you can use:

    deb https://deb.debian.org/debian stable main
    deb https://deb.debian.org/debian-security stable/updates main

    This service is sponsored by Fastly and Amazon CloudFront.

    Et pour les plus curieux une discussion récente sur le sujet d'octobre à décembre sur la liste debian-security.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.