Dépots GNU/Linux Debian en HTTPS

Lors d'une intervention sur un serveur dans un pays un peu rock'n roll, j'ai remarqué que les mises à jour échouaient systématiquement. La raison : le FAI avait installé un routeur qui "embarquait" (balise "embed") tout les sites http et ajoutait un crypto-mineur au passage. Sympa.

Évidement les mises à jour Debian en http foiraient systématiquement... La FAI a vu disparaître sa passerelle, partie pour expertise. Et il s'est pris une porte quand il a voulu venir voir, ne voyant plus en ligne sa passerelle. Au final déménageant quelques mois plus tard, le FAI n'a pas été repris.

La solution trouvée pour se prémunir de cela ? Passer en HTTPS les sources apt de GNU Linux/Debian. Pas de risque de corruption des paquets en eux même, ceux-ci sont déjà contrôlés (signature OpenPGP des paquets)

Commencez par installer le mode transport https pour apt (ce qui ne semble plus nécessaire à partir de Buster).

# apt update && apt install apt-transport-https ca-certificates

Pour GNU Linux/Debian Buster, modifiez /etc/apt/sources.conf avec vi ou emacs ;) pour y mettre :

deb https://deb.debian.org/debian buster main contrib non-free
deb https://deb.debian.org/debian buster-updates main contrib non-free
# security updates
deb https://deb.debian.org/debian-security buster/updates main contrib non-free
# deb https://deb.debian.org/debian buster-backports main contrib non-free
# Si vous avez un serveur Dell, pour OpenManage
# deb https://linux.dell.com/repo/community/ubuntu jessie openmanage

Ensuite vous pouvez lancer les mises à jour :

# apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get clean

Pour GNU Linux/Debian Stretch, modifiez /etc/apt/sources.conf avec vi ou emacs ;) pour y mettre :

deb https://deb.debian.org/debian stretch main contrib non-free
deb https://deb.debian.org/debian stretch-updates main contrib non-free
# security updates
deb https://deb.debian.org/debian-security stretch/updates main contrib non-free
# deb https://deb.debian.org/debian stretch-backports main contrib non-free
deb https://linux.dell.com/repo/community/ubuntu jessie openmanage

Ensuite vous pouvez lancer les mises à jour :

# apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get clean

Cela peut passer pour overkill, mais le HTTPS permet d'empêcher facilement la modification des flux (et cela règle donc mon soucis initial) et de protéger un peu ce que l'on fait avec son serveur.

Add a comment

HTML code is displayed as text and web addresses are automatically converted.

Add ping

Trackback URL : https://blog.crasse.fr/index.php?trackback/6