Обновления UNIX-систем
Как лучше обновлять UNIX-системы – при прямом подключении к инету или через Tor, что безопаснее?
И если через Tor, то как заставить пакетный менеджер работать через него?
Например, у меня на вирт. машинах под дебиан и убунту обновление идет через тор, потому что вирт. машины запускаются под "прозрачно заторенным" юзером.
А как сделать это на физ. машине? Прописать такого юзера в sudoers? Как я понимаю, aptitude, хотя и работает под рутом, с сетью коннектиться не из-под рута, или я неправ?
Ссылки
[link1] http://www.pgpru.com/comment41519
Даже если предположить, что на безопасность это никак не влияет, Tor для анонимности, а не безопасности. Вам нужно скрыть, какие пакеты вы обновляете в системе? Хорошо, допустим вы будете использовать Tor. Только если очередное обновление будет на много мегабайтов — это медленно, ненадёжно (может оборваться по таймауту, если цепочки неудачно построятся) и перегружает саму сеть Tor.
Там сделано максимально безопасно с точки зрения раздачи привилегий процессам. На физ. машине проще всего использовать связку Tor+Privoxy (или Polipo) и задать обновление через локальный прокси в конфиге apt (подойдёт только для http, но не ftp зеркал). Можно использовать в консоли команду вида export HTTP_PROXY=127.0.0.1:8118; export http_proxy=127.0.0.1:8118 перед запуском aptitude (при настроенном privoxy на локалхосте, заворачивающим трафик в Tor).
Вообще, поскольку скачанные пакеты проверяются по списку хэшей, подписанным электронной подписью GnuPG, то исходящий узел Tor не может подсунуть злонамеренный пакет. Не могу поручиться, есть ли на списке пакетов метки времени — не может ли человек-посредине задерживать (причём для заведомо анонима) весь список целиком на какое-то время, если обнаружилась какая-то фундаментальная дыра в апдейтах например.
Ну, например такая модель угрозы, когда противник в результате MITM-атаки целенаправленно подсовывает тебе проруткиченные пакеты. Я понимаю, что есть система проверки подлинности пакетов, но если допустить, что он уже подсунул мне проруткиченный дистр при его скачивании, подменив, нап
Это я замечал при обновлениях Debian Testing на виртмашине – там каждое обновление, если даже делать его раз в неделю, затягивается на часы.
Впрочем, тестинг я туда ставил для экспериментов, до которых не дошли руки, а для практических целей (типа повысить анонимность таким путем) я юзаю бубунту, которая уже даже не old stable, а более ранняя версия. (Которую по этой же причине не особенно хочу обновлять – по-моему, быстрее новую виртмашину создать с образа диска с локалхоста, чем обновлять старую через Tor)/
Подпись на самом дистре (инсталляционных iso, буде такие сохранились) можно проверить на любой UNIX-системе — к соседу в гости зайти, например :)
А если вдруг "кровавая гэбня" подменяет все скачиваемые в России дистры Linux через MITM-атаку, и уже давно это делает?!
Не путайте подпись с хэшем. Чтобы надёжно проверить подпись достаточно хотя бы раз заиметь неподменённый публичный ключ. Сам ключ можно получить по разным каналам, подменить все из которых противнику будет очень трудно.
Это МАТРИЦА подменяет!!!
Дежавю "подмена через MITM-атаку" заметили? ;))
Вот как раз я-то всё заметил. И как К.О. должен вам напомнить, что митмить сам дистр бессмысленно, если у пользователя уже есть ключ. Митмить надо сам ключ, но от этого есть такая масса противодействий...[link1] и даже если так, то лучше митмить все ключи разработчика по миру на уровне ISP у которого данный разработчик работает (впрочем, и это фантастика).