安全なdebのためのDebian LinuxとTor

人気のDebian Linuxディストリビューションの公式ブログの8月1日、いくつかのDebianリソースでTor匿名ネットワークサービスが利用できるというニュース がありました。 パッケージ、更新、およびセキュリティのリポジトリは、Torネットワークを離れることなくダウンロードできます。









これらのイノベーションの主な目標は、少なくともdebパッケージをロードする際のメタデータの漏洩を防ぐことです。



メインの配布サーバーDebianおよびUbuntuは、プレーンHTTPおよび暗号化されていないネットワーク接続を使用します。 これにより、アマチュアや好奇心people盛な人でもネットワーク上のトラフィックを傍受するための十分な機会が得られますが、専門家はこれから多くの有用な情報を抽出できます。 誰かが地下鉄の反対側に座っている赤い目をした人が新しいデスクトップテーマをダウンロードしてインストールしたばかりであるとトレースしたので、どう思われますか？ ただし、もっと広く見ると、ローカルホスト管理者だけでなく、金融機関のITサービスや、あらゆる州の元米国務長官のホームメールサーバーも表示されます。 構造。 これらのシステムにどのセキュリティ更新プログラムがインストールされているか、またはまだインストールされていないかを知りたい人がたくさんいます。 Torのタマネギサービスを通じてリポジトリを管理すると、侵入者とすべてのカードが混同されます。



質問は請う： HTTPSの何が問題なのか？ HTTPが好きではない、はるかに安全なHTTPSプロトコルを使用し、SSL / TLS証明書でWebセッションを暗号化します。 高いリスクのSSL脆弱性が私たちが望むよりもはるかに頻繁に発生するという事実に加えて、HTTPSソリューションのアーキテクチャに関連する重大なプライバシー問題もあります。



Hidden Markov Modelを使用して、ケンブリッジ大学の研究者は、転送されるデータのサイズを観察し、それを操作することで、 どのファイルがダウンロードまたはダウンロードされているかをある程度判断できることを示しました 。 Habréについては、HTTPSに関連するさまざまなMiTM攻撃、特にカザフスタン州についてすでに書いています。 暗号化されたTLSトラフィックをリッスンするように特別に設計された証明書。 幸いなことに、すべてのWebブラウザー開発チームがこのステップを肯定的に評価したわけではありません; FireFox 48 では、状態の追加を拒否しました。 しかし、 カザフスタンの信頼されたルートCAの証明書は 、悪い例が伝染する可能性があり、通常の洗練されていないユーザーに危険があります。 さらに、人気のあるLinux OSリポジトリのHTTP（S）ミラーを自分で簡単に選択して、好きなように使用することができます。 フロント会社と200ドルのレンタルホスティングがこれをします。



オニオンリングの Torサービスは、サードパーティ組織によって提供されるルートCAに依存しないため、これらの問題はすべて簡単に回避できます。



匿名のTorプロキシネットワークでホストされているDebianリポジトリは、別の重要な問題を解決します-オープンソースソフトウェアへの回避とアクセス 。 最初はそれはやや推測に思えましたが、先日、これはエキゾチックなスルタン酸塩だけの問題ではないと感じました。 私たちは、クリミアでGoogle Playからソフトウェアをインストール、更新する際のエラー403について話しています 。これは、Good Corporationによるアメリカの制裁措置の結果です。 インターネットで簡単に検索すると、VPNとプロキシサーバーを使用してこのbyakを回避する方法がわかります。 CrimeaのiOSおよびWindows Phoneユーザーはどうなっているのだろうか？









ただし、クリミアの他のGoogleサービスは正常に機能します。これは、サンスキーではなく、むしろそれらの冒proであることを示唆しています。 もちろん、通常のタブレット、Android OSスマートフォン、フリーソフトウェア、およびGoogle Playにインストールされた電話を呼び出すことができます-そのリポジトリは、非常に大きな論理と事実でしかできませんが、ある意味では、示された問題が存在します。 お使いのモバイルデバイスまたはPCがDebian / Torバンドルを使用している場合、そのような制裁措置はあなたに影響を与えません。



Torサービスの統合が他のLinux OSの先例になることが期待されていますが、これは間違いなく正しい方向への一歩です。

aptの構成

最も単純なケースでは、 apt-transport-torパッケージがインストールされている場合、Debian Linuxリポジトリ設定ファイル/etc/apt/sources.list



へのパスを書き込むだけで十分です。

 deb tor+http://vwakviie2ienjx6t.onion/debian jessie main deb tor+http://vwakviie2ienjx6t.onion/debian jessie-updates main deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security jessie/updates main
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

より独創的なアプローチには、リンクが含まれます

 deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie main deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie main deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie-updates main deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie-updates main deb tor+http://vwakviie2ienjx6t.onion/debian jessie-backports main deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie-backports main
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

別のファイル/etc/apt/sources.list.d/00.vwakviie2ienjx6t.onion.list



およびセキュリティ更新リポジトリ

 deb tor+http://sgvtcaew4bxjd7ln.onion/ jessie/updates main
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

/etc/apt/sources.list.d/00.sgvtcaew4bxjd7ln.onion.list







Torネットワークが利用できないか不安定な場合は、セキュリティアップデートの通常の設定を追加することを忘れないでください。

 deb http://security.debian.org/ jessie/updates main
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これを/etc/apt/sources.list.d/99.security.debian.org.list



ファイルに書き込みます。