M. *_*ger 4 linux http packages ubuntu apt
所以我刚刚像往常一样更新我的 Ubuntu 18.04 系统,当我注意到 apt 存储库正在通过 HTTP 访问时。快速的互联网搜索证实这是标准的(至少对于 ubuntu 来说是这样),但没有给出原因的答案。现在我知道 apt 对包执行签名/健全性检查,但为什么不使用 HTTPS?
编辑 2019-01-24:鉴于最近因 HTTP 通信而出现的 RCE 漏洞,我想指出我发现的有关此主题的一些当前链接。
https://whydoesaptnotusehttps.com/ -> 一个单一目的网站,仅用于解释为什么 HTTP 就足够了。
https://justi.cz/security/2019/01/22/apt-rce.html -> 如何利用 HTTP 连接在目标主机上执行任意代码(以及如何保护自己免受此类攻击)。
https://usn.ubuntu.com/3863-1/ -> Ubuntu 安全声明
https://lists.debian.org/debian-security-announce/2019/msg00010.html -> Debian 安全公告。
大多数时候,文件是从镜像下载的,而不是从 ubuntu 服务器下载的,因此即使 ubuntu 站点使用 HTTPS,您也将从 或 等站点下载http://ubuntu.unc.edu.ar/ubuntu/文件http://ubuntu.mirror.lrz.de/ubuntu/。
为了解决这个问题,APT 下载的文件有一个签名,可以根据存储在您计算机上的公钥进行验证,因为该文件是由 Ubuntu 签名的且仅由 Ubuntu 签名。