如何在 apt-get 中使用 https？

Question

是否apt-get使用 https 或任何类型的加密？有没有办法配置它以使用它？

Answer 1

apt-get（和其他包操作命令，它们是相同 APT 库的前端）可以使用 HTTP、HTTPS 和 FTP（以及挂载的文件系统）。如果您https://在/etc/apt/sources.list和 中指定URL /etc/apt/sources.list.d/*，则 APT 将使用 HTTPS。

APT 验证包的签名。因此，您不需要具有提供数据身份验证的传输形式。如果攻击者修改了您正在下载的文件，则会注意到这一点。使用签名验证比使用 HTTPS 连接更好，因为它会检测对您下载的服务器的攻击，而不仅仅是传输中的攻击。

更准确地说，包的（简化的）数据流如下：

1. 该包是在构建机器上生成的。
2. 包在构建机器上签名。
3. 签名的包被复制到下载镜像。
4. 你下载这个包。

HTTPS 确保步骤 4 正确发生。包签名确保步骤 2 到 4 正确发生。

事实上，HTTPS 的第 4 步有一个小好处：包签名只确保包是真实的。步骤 4 中的攻击者可以冒充合法服务器并提供过时版本的软件包。例如，攻击者可能会阻止您下载任何安全更新，以期利用您计算机上的漏洞，如果不是针对该攻击，您本可以修补该漏洞。这不是一个非常现实的场景，因为它需要一个主动的攻击者（因此必须有人控制您的 Internet 连接），但原则上它可能发生。

HTTPS 的另一个好处是，如果您试图隐藏正在从窥探您的网络连接的人那里下载 Ubuntu 软件包的事实。即便如此，窃听者也可以看到您正在连接的主机；如果您连接到 Ubuntu 镜像并下载数百兆字节，很明显您正在下载 Ubuntu 软件包。窃听者还可以从文件的大小中找出您正在下载的包。因此，HTTPS 仅在您从还提供类似大小的其他文件的服务器下载时才有用 - 除了第三方包，我认为没有任何意义，并且仅在非常不寻常的情况下。

重申：HTTPS 的通常好处，即您知道您已连接到真实服务器，在您下载 Ubuntu 软件包时是无用的。包上的签名验证提供了比 HTTPS 所能提供的更有力的保证。

Answer 2

对于 APT，通常更重要的不是您的连接是否加密，而是您收到的文件没有被篡改。

APT 具有内置的签名验证来确保这一点。

加密可以防止窃听者看到您正在下载的内容，但您实际下载（和请求）的内容是毫无争议的：它与成千上万其他 Ubuntu 用户正在下载的内容相同，并且文件不包含任何内容t 在许多服务器上免费提供。尽管如此，如果您需要有关正在下载的特定包的隐私，可以使用 HTTPS（在您的 sources.list 中指定）。

APT 内置的签名验证将确保您收到的文件未被篡改。文件来自哪里并不重要，甚至可以在您和服务器之间使用代理或反向代理来减少服务器负载或加快速度。签名验证仍可确保您获得未修改的文件，匹配只能使用原始文件和 Ubuntu 私钥副本以加密方式生成的签名。

如果您切换到 HTTPS，那么您将无法再利用代理服务器来加快访问速度或减少负载。而且它不会增加任何关于 APT 签名验证尚未提供的不可篡改的保证。然而，这意味着窃听者（例如您的 ISP）将无法看到您正在下载哪些软件包（这不太可能是机密的，正如 Gilles 指出的那样，他们可以从文件大小中猜测）。

Answer 3

我认为这个问题可以使用带有外行说明的答案，所以\xe2\x80\xa6

\n\n

在 Ubuntu 19.10 (Eoan)（仍在开发中）的日常构建中，APT 仍然默认不使用 HTTPS。您可以通过检查 /etc/apt/sources.list 文件并注意到所有源 URL 都使用“http:”URL 方案来验证这一点。

\n\n

要将其配置为使用 HTTPS，可以按照以下说明操作：

\n\n

首先，找到一个值得信赖的支持HTTPS的官方Ubuntu存档镜像：

\n\n

\n
1. 导航至Ubuntu 官方存档镜像网页。
\n
2. 在该网页的表格中，确定 (A) 托管在您认为值得信赖的网站上的镜像，(B) 具有“http:”镜像，并且可以选择 (C) 满足您的地理邻近性、服务器速度和更新要求新鲜度偏好。
\n
3. 在该网页的表格中，单击步骤 (2) 中标识的镜像的“http”链接以访问该镜像的“http:”版本。
\n
4. 在浏览器地址栏中，手动将网页URL中的“http:”更改为“https:”。
\n
5. 再次导航到镜像（通过“https:”URL）以查看其是否解析。
\n

\n\n

例如，我认为维基媒体基金会值得信赖，因此我访问了http://mirrors.wikimedia.org/ubuntu/镜像 URL，随后将其更改为https://mirrors.wikimedia.org/ubuntu/，成功解析。

\n\n

如果您使用 Firefox (67.0.4) 并安装了HTTPS Everywhere (2019.6.27) 扩展，并启用了“加密所有符合条件的站点”功能（通过工具栏按钮面板），则可以省略步骤 (4) 和 (5)因为扩展程序会自动修改 URL 以使用 HTTPS，从而使人们能够更立即地确定 URL 的“https:”版本是否会解析。

\n\n

二、更新你的APT源列表：

\n\n

\n
1. 执行命令sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup来备份您的更新源列表。
\n
2. 将命令中显示为https://mirrors.wikimedia.org \xe2\x80\x94 的镜像基 URL\xe2\x80\x94sudo sed --in-place --regexp-extended \'s http://(us\\.archive\\.ubuntu\\.com|security\\.ubuntu\\.com) https://mirrors.wikimedia.org g\' /etc/apt/sources.list替换为您首选镜像的镜像基 URL，然后执行该命令。
\n

\n\n

第三，您应该检查 /etc/apt/sources.list.d/ 目录的内容，以查找“http:”源，在从 Ubuntu 存档外部安装软件后，这些源可能会更改为“https:”。

\n\n

例如，Microsoft 的 Visual Studio Code 包将 vscode.list 文件添加到此目录，该文件指定“http:”URL。只需将 URL 方案从“http:”更改为“https:”即可通过 HTTPS 进行更新。

\n\n

在修改任何此类源文件之前，请考虑对其进行备份。

\n\n

最后，执行更新以确保更新正常工作：

\n\n

\n
1. 执行sudo apt-get update命令。
\n
2. 如果这不能按预期工作，请通过执行命令恢复您创建的备份源列表文件sudo cp /etc/apt/sources.list.backup /etc/apt/sources.list。
\n

\n\n

还值得注意的是，有一个apt-transport-https软件包可以为 APT 添加 HTTPS 支持。然而，根据网页https://launchpad.net/ubuntu/eoan/+package/apt-transport-https显然不需要这个包，并且根据执行命令后显示的信息，从 APT 1.5 开始就不需要这个包了apt-cache show apt-transport-https。

\n