BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 3 ] 
Автор Сообщение
СообщениеДобавлено: Сб 11 апр, 2020 9:37 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 11 апр, 2020 7:32 pm
Сообщения: 3
Доброго Времени Суток Всем ВсеЗнайкам!
Собственно, Вопрос заключается в том, как качать Обновы ИсХодников с Официального Зеркала так, чтобы ни Одна Зараза не прицепилась «по Дороге»?
При скачивании Образов Релиза можно проверить SHA256 и SHA512, а потом открыть ту же Страницу через Сеть Tor и проверить ещё раз.
Но на СвежеУстановленной Системе (например, с Boot-Only Образа) Сертификаты отсутствуют «ИсКаропки».
При Этом (например рекомендуемая Hand-Bookом) Команда SVNLite через HTTPS:
Код:
#svnlite checkout "HTTPS://SVN.FreeBSD.Org/base/releng/$(uname -r | grep --max-count=1 --only-matching "[\.\,0-9]*")" "/usr/src"
                   ^^^^^
Предлагает сравнить Отпечаток Сервера с Оригиналом (Самостоятельно, то есть Ру́ками и Гла́зами!) и Принять/Отклонить.
Если же запустить SVNLite по Протоколу SVN:
Код:
#svnlite checkout "SVN://SVN.FreeBSD.Org/base/releng/$(uname -r | grep --max-count=1 --only-matching "[\.\,0-9]*")" "/usr/src"
                   ^^^
то Она будет работать, но (ЕМНИП) Протокол SVN, работающий через Порт 3690, сам по себе не обеспечивает Шифрования.
Ещё есть Программа SVNUp, которой, кажется, пофиг на Сертификаты, и Она будет работать через 443 Порт:
Код:
#svnup Release -f -b "base/releng/$(uname -r | grep --max-count=1 --only-matching "[\.\,0-9]*")" -h "SVN.FreeBSD.Org" -k "/tmp" -l "/usr/src" -p "HTTPS" -v 2
                                                                                                                                                  ^^^^^
# sockstat -L | grep --extended-regexp --ignore-case "(Fetch|SVN|Pkg)"
root     svnup      970   3  tcp4   AA.BB.CC.DD:37756     213.138.116.72:443
                                                                         ^^^
Возможно, Это и есть «Правильно», но где же Её взять на «СвежеУстановленной Системе»? Дело в том, что «pkg install svnup» херачит по 80 Порту (проверено ВышеУказанной Командой «sockstat»), то есть через НиЧем не Защищённый HTTP. По тому же Принципу работает и рекомендованный Hand-Bookом «portsnap fetch». Используемый Порт на Удалённой Машине всё так же можно посмотреть Командой «sockstat», приведённой выше, если запустить Её во Время Скачивания из другой Консоли.
Чем не устраивает HTTP/SVN? Да просто ИнтерНет-Провайдер на Своём Шлюзе может запросто подставить DNS Другого Сервака, или завернуть IPшники Официальных Серверов FreeBSD.Org на «НеОфициальные», на которых содержатся «ПроПатченные» ИсХодники и Соответствующие Бинарники, причём Любых Программ. Провайдер даже может подменить Серверы Сертификации (это, конечно, тот ещё Геморрой, но, теоретически — может).
Конечно, скорее всего (пока), ВсеВидящее Око не пережёвывает Все Компоненты Свободного Софта, но некоторые Тревожные Звоночки в Сети уже проскакивают. Там указывают на Попытки «НеДоброСовестных» ISP (не будем указывать на Конкретных, пока не будем) подменить Сертификаты Сайтов и ПереНаправить Трафик «Куда Надо». Подобные Хулиганства могут также происходить в рамках ПоПыток ОтГраничить «Наш InterNet» от «Ихнего, Буржуйского». Проделывать все эти Шутки на Шифрованных Протоколах будет, мягко говоря, Сложнее и ЗаТратнее. Правда, были Там Идеи по поводу Запрета на Шифрование по Сети вообще, но Это, скорее всего, не прокатит.
Поэтому и возникает Вопрос к Знатокам: Как «Правильно» качать Сырцы и Порты на Системе без установленного «CA_Root_NSS», чтобы не стянуть Трояна на уровне Ядра OS или Команды «echo/date/bash/nginx»?

_________________
Да прибудет с Вами Вечный DD! © ПараНойИк в Скафандре.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Чт 28 май, 2020 6:00 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1043
Откуда: Киев
Предлагаю на "голой" отдельной минимальной системе скачать весь необходимый софт для начала. ОС не важна.
В идеале - по отдельному каналу связи на свой носитель.
Сверить контрольные сумы и ко.
Ставите из скачанного на нужную систему ОС и необходимое ПО.
При желании уже на "новой проверенной системе" по безопасным шифрованым каналам повторно скачиваете те же данные. Проверяете контрольные суммы и ко и сравниваете со скачанным ранее, Если есть расхождения, повторно скачиваем/проверяем наличие обновлений за период между обновлениями.
Теперь у Вас есть "доверенная машина" и возможность скачать все, что необходимо по шифрованным каналам.
Долго-ли можно доверять этой "доверенной машине" - Вам решать ...
И станет-ли она доверенной ... тоже.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 06 ноя, 2020 1:04 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 11 апр, 2020 7:32 pm
Сообщения: 3
olexande, Благодарю за Развёрнутый Ответ. Были похожие Мысли, но хотелось как-то Проще и более Автоматизированно, что-ли…
А Жизнь-то, кажется, налаживается. Во FreeBSD 12.2 Release Notes упоминается о Добавленной (ещё 4 Января 2020) Программе «certctl».
Теперь после Установки FreeBSD 12.2 с Boot-Only Образа Набор Сертификатов уже присутствует в «/usr/share/certs» так сказать «ИсКаропки».
Например, на СвежеУстановленной Системе возможно Обращаться к Защищённым Сайтам, например, так:
Код:
# fetch --output="-" "https://Example.Com"
На 12.1 и более Ранних Версиях (с 13 Марта 2017) Эта Команда не сработает, пока не будет Установлен Порт вроде «Security/CA_Root_NSS».
При Поверхностном Тестировании:
  • svnlite работает по Протоколу HTTPS (443 Порт).
  • portsnap->fetch работает по Протоколу HTTP (80 Порт), но перед Скачиванием берёт Открытый Ключ с «AWS.PortSnap.FreeBSD.Org» и Что-то там проверяет (не разбирался, Что и ЗаЧем).
  • make install работает по Протоколу HTTPS (443 Порт), периодически пиная DNS (53 Порт). Правда всё же за Какими-то Портами лазил по HTTP (80 Порт). Замечена Активность. ЗаконоМерность не выявлена (Пока). Теоретически должны проверяться Контрольные Суммы Скачиваемых Файлов, однако не все Порты содержат Файл «/usr/ports/…/…/distinfo». А проверяет ли Их «make»? Требуется более Детальное Разбирательство.
  • svnup работает по Протоколу HTTPS (443 Порт). Правда, для Её ИсПользования на «Голой Системе», придётся как-то закинуть туда эту Программу (Без Зависимостей).
  • portmaster->fetch работает так же, как и make->fetch/make->pkg-static.
Вывод № 01: Устанавливать FreeBSD 12.2 уже можно с Образа «Boot-Only» (предварительно проверяя Контрольные Суммы), а не только с «DVD1», содержащего Собранные Пакеты.
Вывод № 10: FreeBSD становится более ПроДуманной и БезОпасной, позволяя Получать Сырцы по Защищённому Протоколу «ИсКаропки» без Лишних «БубноТанцев». Но за Действиями Дефолтных Программ всё ещё сто́ит ПриГлядывать (Может ЗаФайерВолить на ВыХод 20, 21, 23, 80, 8080 во Время Установок и ОбНовлений?:).
Вывод № 11: «svnlite» ЧрезМерно засерает Дисковое Пространство: Объём Каталога «/usr/src/.svn» может превышать Полезный Объём «/usr/src». «svnup» (Экономит Место) работает медленнее, периодически вылетает на «ПолПути», а также может ЗаЦиклиться, выплёвывая что-то типа «SSL_connect error:5», БесКонтрольно кушая Проц. Теоретически Работает, но для Автоматического Пакетного ИсПользования требуется Серьёзная Обёртка, которая будет следить за Временем и Ошибками и при НеОбХодимости ПереЗаПускать «svnup».

_________________
Да прибудет с Вами Вечный DD! © ПараНойИк в Скафандре.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 3 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика