Forum Linux.debian/ubuntu Sources.list debian.security.org

Posté par 1984 le 01 décembre 2017 à 17:02. Licence CC By‑SA.

Étiquettes :

déc.

2017

Bonjour,
Je voulais savoir si il était normal que http://security.debian.org/ ne soit proposer ou imposer en https dans le sources.list de debian ?

Car, personnellement, je ne vois pas l'intérêt de mettre un dépot en https, comme par ex : https://pkg.adfinis-sygroup.ch/debian/ , si le dépot security de debian ne le soit pas.

# la sécurité est gérée au niveau paquet

Posté par Thomas Debesse (site web personnel) le 01 décembre 2017 à 17:38. Évalué à 6.

La sécurité est gérée au niveau du paquet, chaque paquet est signé et peut être vérifié même s’il est tombé du camion ou distribué par pigeon voyageur, tu sauras qu’il est légitime.

Ça permet à n’importe qui de faire un dépôt et à n’importe qui d’utiliser le dépôt de n’importe qui. Si Donald Trump fait confiance à la signature de Debian et au protocole de signature employé, il peux utiliser sans crainte les paquets hébergés sur les serveurs du KGB et acheminés à dos de chameau de Daech.

Ça signifie aussi que si le serveur security.debian.org est compromis, les paquets ne le seront pas.

C’est de la sécurité par la méthode “je n’ai pas confiance dans le transporteur, y compris moi-même”.

Si je te sors de mon blouson une clé usb contenant un miroir du dépôt security.debian.org, tu peux vérifier que chaque paquet fourni est légitime.

Https ne sert donc pas à beaucoup de choses dans ce scenario (à part coûter plus cher en CPU) : la valise a un mécanisme qui te garanti qu’elle n’a pas été compromise et que le contenu n’a pas été inchangé, même si t’as pas confiance dans le porteur ou que la valise a été perdue et retrouvée. C’est aussi pour cela que tu peux faire confiance au miroir de ton université, de ton entreprise, de ton fablab, de ton fournisseur d’accès, de ton hébergeur (et ça leur rendra service en coût de peering, et ce sera plus écologique).

ce commentaire est sous licence cc by 4 et précédentes
- [^] # Re: la sécurité est gérée au niveau paquet
  
  Posté par Thomas Debesse (site web personnel) le 01 décembre 2017 à 17:54. Évalué à 3.
  
  Note que s’il est recommandé d’utiliser le dépôt security de debian, c’est pour t’assurer d’avoir le correctif quand il est prêt, pas de devoir attendre que ton miroir se synchronise. Mais c’est tout.
  
  Note qu’en utilisant un dépôt debian en http, tu permets à ton fournisseur d’accès de monter un proxy cache transparent pour ce dépôt, sans te mettre en danger (et en lui faisant faire des économies, et c’est probablement plus écologique aussi), ce qui te permet de télécharger les mises-à-jour de sécurité de Debian directement depuis les disques dur de ton FAI sans avoir à changer l’adresse du dépôt sécurité (en utilisant bien security.debian.org).
  
  Donc en fait, le dépôt security.debian.org en http résout à la fois la problématique du “délai de livraison” et du “peering”, car les utilisateurs utilisent l’adresse officielle et pas un miroir qui pourrait mettre du temps à se mettre à jour, et le fournisseur d’accès peut faire un proxy-cache pour réduire ses coûts de peering.
  
  ce commentaire est sous licence cc by 4 et précédentes
- [^] # Re: la sécurité est gérée au niveau paquet
  
  Posté par Cyril Brulebois (site web personnel) le 02 décembre 2017 à 02:57. Évalué à 4.
  Précision : La sécurité est gérée au niveau du dépôt et non du paquet.
  
  Pour chaque distribution, c'est le fichier Release qui est signé :
  - signature détachée dans Release.gpg
  - signature inline dans InRelease
  et qui permet de vérifier les fichiers Packages et Sources pour chaque composant et architecture, qui à leur tour référencent les paquets individuels.
  
  Debian Consultant @ DEBAMAX
# gpg

Posté par kna le 01 décembre 2017 à 17:39. Évalué à 3.

Le sujet a déjà été discuté : https://linuxfr.org/users/denisdordoigne/journaux/debian-va-debrancher-ses-depots-ftp#comment-1701244

En gros, la sécurité n'est pas dans le transport, mais dans la signature GPG des paquets.
# deb.debian.org

Posté par Benoît Sibaud (site web personnel) le 02 décembre 2017 à 10:55. Évalué à 4. Dernière modification le 02 décembre 2017 à 10:57.

Voir https://deb.debian.org/

The redirection service is also available on HTTPS, so with the apt-transport-https package installed, you can use:

deb https://deb.debian.org/debian stable main
deb https://deb.debian.org/debian-security stable/updates main

This service is sponsored by Fastly and Amazon CloudFront.

Et pour les plus curieux une discussion récente sur le sujet d'octobre à décembre sur la liste debian-security.
- [^] # Re: deb.debian.org
  
  Posté par Benoît Sibaud (site web personnel) le 02 décembre 2017 à 11:10. Évalué à 4. Dernière modification le 02 décembre 2017 à 11:11.
  
  Résumé de la discussion : GPG assure l'intégrité et l'authentification des données (en dehors des bugs qui peuvent toujours arriver, comme DSA-3733/CVE-2016-1252 ou CVE-2013-1051). Mais le trafic est analysable et peut être bloqué par un intermédiaire (voir reducing-metadata-leakage-from-software-updates.
  
  À noter qu'il existe aussi https://onion.debian.org/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.