| BSDPORTAL.RU http://bsdportal.ru/ |
|
| :ugeek: Сырцы и Порты по Протоколу HTTPS http://bsdportal.ru/viewtopic.php?f=8&t=29067 |
Страница 1 из 1 |
| Автор: | ParaNoyIk [ Сб 11 апр, 2020 9:37 pm ] |
| Заголовок сообщения: | :ugeek: Сырцы и Порты по Протоколу HTTPS |
Доброго Времени Суток Всем ВсеЗнайкам! Собственно, Вопрос заключается в том, как качать Обновы ИсХодников с Официального Зеркала так, чтобы ни Одна Зараза не прицепилась «по Дороге»? При скачивании Образов Релиза можно проверить SHA256 и SHA512, а потом открыть ту же Страницу через Сеть Tor и проверить ещё раз. Но на СвежеУстановленной Системе (например, с Boot-Only Образа) Сертификаты отсутствуют «ИсКаропки». При Этом (например рекомендуемая Hand-Bookом) Команда SVNLite через HTTPS: Код: #svnlite checkout "HTTPS://SVN.FreeBSD.Org/base/releng/$(uname -r | grep --max-count=1 --only-matching "[\.\,0-9]*")" "/usr/src" Предлагает сравнить Отпечаток Сервера с Оригиналом (Самостоятельно, то есть Ру́ками и Гла́зами!) и Принять/Отклонить.^^^^^ Если же запустить SVNLite по Протоколу SVN: Код: #svnlite checkout "SVN://SVN.FreeBSD.Org/base/releng/$(uname -r | grep --max-count=1 --only-matching "[\.\,0-9]*")" "/usr/src" то Она будет работать, но (ЕМНИП) Протокол SVN, работающий через Порт 3690, сам по себе не обеспечивает Шифрования.^^^ Ещё есть Программа SVNUp, которой, кажется, пофиг на Сертификаты, и Она будет работать через 443 Порт: Код: #svnup Release -f -b "base/releng/$(uname -r | grep --max-count=1 --only-matching "[\.\,0-9]*")" -h "SVN.FreeBSD.Org" -k "/tmp" -l "/usr/src" -p "HTTPS" -v 2 Возможно, Это и есть «Правильно», но где же Её взять на «СвежеУстановленной Системе»? Дело в том, что «pkg install svnup» херачит по 80 Порту (проверено ВышеУказанной Командой «sockstat»), то есть через НиЧем не Защищённый HTTP. По тому же Принципу работает и рекомендованный Hand-Bookом «portsnap fetch». Используемый Порт на Удалённой Машине всё так же можно посмотреть Командой «sockstat», приведённой выше, если запустить Её во Время Скачивания из другой Консоли.^^^^^ # sockstat -L | grep --extended-regexp --ignore-case "(Fetch|SVN|Pkg)" root svnup 970 3 tcp4 AA.BB.CC.DD:37756 213.138.116.72:443 ^^^ Чем не устраивает HTTP/SVN? Да просто ИнтерНет-Провайдер на Своём Шлюзе может запросто подставить DNS Другого Сервака, или завернуть IPшники Официальных Серверов FreeBSD.Org на «НеОфициальные», на которых содержатся «ПроПатченные» ИсХодники и Соответствующие Бинарники, причём Любых Программ. Провайдер даже может подменить Серверы Сертификации (это, конечно, тот ещё Геморрой, но, теоретически — может). Конечно, скорее всего (пока), ВсеВидящее Око не пережёвывает Все Компоненты Свободного Софта, но некоторые Тревожные Звоночки в Сети уже проскакивают. Там указывают на Попытки «НеДоброСовестных» ISP (не будем указывать на Конкретных, пока не будем) подменить Сертификаты Сайтов и ПереНаправить Трафик «Куда Надо». Подобные Хулиганства могут также происходить в рамках ПоПыток ОтГраничить «Наш InterNet» от «Ихнего, Буржуйского». Проделывать все эти Шутки на Шифрованных Протоколах будет, мягко говоря, Сложнее и ЗаТратнее. Правда, были Там Идеи по поводу Запрета на Шифрование по Сети вообще, но Это, скорее всего, не прокатит. Поэтому и возникает Вопрос к Знатокам: Как «Правильно» качать Сырцы и Порты на Системе без установленного «CA_Root_NSS», чтобы не стянуть Трояна на уровне Ядра OS или Команды «echo/date/bash/nginx»? |
|
| Автор: | olexande [ Чт 28 май, 2020 6:00 pm ] |
| Заголовок сообщения: | Re: :ugeek: Сырцы и Порты по Протоколу HTTPS |
Предлагаю на "голой" отдельной минимальной системе скачать весь необходимый софт для начала. ОС не важна. В идеале - по отдельному каналу связи на свой носитель. Сверить контрольные сумы и ко. Ставите из скачанного на нужную систему ОС и необходимое ПО. При желании уже на "новой проверенной системе" по безопасным шифрованым каналам повторно скачиваете те же данные. Проверяете контрольные суммы и ко и сравниваете со скачанным ранее, Если есть расхождения, повторно скачиваем/проверяем наличие обновлений за период между обновлениями. Теперь у Вас есть "доверенная машина" и возможность скачать все, что необходимо по шифрованным каналам. Долго-ли можно доверять этой "доверенной машине" - Вам решать ... И станет-ли она доверенной ... тоже. |
|
| Автор: | ParaNoyIk [ Пт 06 ноя, 2020 1:04 pm ] |
| Заголовок сообщения: | Re: :ugeek: Сырцы и Порты по Протоколу HTTPS |
olexande, Благодарю за Развёрнутый Ответ. Были похожие Мысли, но хотелось как-то Проще и более Автоматизированно, что-ли… А Жизнь-то, кажется, налаживается. Во FreeBSD 12.2 Release Notes упоминается о Добавленной (ещё 4 Января 2020) Программе «certctl». Теперь после Установки FreeBSD 12.2 с Boot-Only Образа Набор Сертификатов уже присутствует в «/usr/share/certs» так сказать «ИсКаропки». Например, на СвежеУстановленной Системе возможно Обращаться к Защищённым Сайтам, например, так: Код: # fetch --output="-" "https://Example.Com" На 12.1 и более Ранних Версиях (с 13 Марта 2017) Эта Команда не сработает, пока не будет Установлен Порт вроде «Security/CA_Root_NSS».При Поверхностном Тестировании:
Вывод № 10: FreeBSD становится более ПроДуманной и БезОпасной, позволяя Получать Сырцы по Защищённому Протоколу «ИсКаропки» без Лишних «БубноТанцев». Но за Действиями Дефолтных Программ всё ещё сто́ит ПриГлядывать (Может ЗаФайерВолить на ВыХод 20, 21, 23, 80, 8080 во Время Установок и ОбНовлений?:). Вывод № 11: «svnlite» ЧрезМерно засерает Дисковое Пространство: Объём Каталога «/usr/src/.svn» может превышать Полезный Объём «/usr/src». «svnup» (Экономит Место) работает медленнее, периодически вылетает на «ПолПути», а также может ЗаЦиклиться, выплёвывая что-то типа «SSL_connect error:5», БесКонтрольно кушая Проц. Теоретически Работает, но для Автоматического Пакетного ИсПользования требуется Серьёзная Обёртка, которая будет следить за Временем и Ошибками и при НеОбХодимости ПереЗаПускать «svnup». |
|
| Страница 1 из 1 | Часовой пояс: UTC + 4 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|