Lors d'une intervention sur un serveur dans un pays un peu rock'n roll, j'ai remarqué que les mises à jour échouaient systématiquement. La raison : le FAI avait installé un routeur qui "embarquait" (balise "embed") tout les sites http et ajoutait un crypto-mineur au passage. Sympa.
Évidement les mises à jour Debian en http foiraient systématiquement... La FAI a vu disparaître sa passerelle, partie pour expertise. Et il s'est pris une porte quand il a voulu venir voir, ne voyant plus en ligne sa passerelle. Au final déménageant quelques mois plus tard, le FAI n'a pas été repris.
La solution trouvée pour se prémunir de cela ? Passer en HTTPS les sources apt de GNU Linux/Debian. Pas de risque de corruption des paquets en eux même, ceux-ci sont déjà contrôlés (signature OpenPGP des paquets)
Commencez par installer le mode transport https
pour apt
(ce qui ne semble plus nécessaire à partir de Buster).
# apt update && apt install apt-transport-https ca-certificates
Pour GNU Linux/Debian Buster, modifiez /etc/apt/sources.conf
avec vi ou emacs ;) pour y mettre :
deb https://deb.debian.org/debian buster main contrib non-free
deb https://deb.debian.org/debian buster-updates main contrib non-free
# security updates
deb https://deb.debian.org/debian-security buster/updates main contrib non-free
# deb https://deb.debian.org/debian buster-backports main contrib non-free
# Si vous avez un serveur Dell, pour OpenManage
# deb https://linux.dell.com/repo/community/ubuntu jessie openmanage
Ensuite vous pouvez lancer les mises à jour :
# apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get clean
Pour GNU Linux/Debian Stretch, modifiez /etc/apt/sources.conf
avec vi ou emacs ;) pour y mettre :
deb https://deb.debian.org/debian stretch main contrib non-free
deb https://deb.debian.org/debian stretch-updates main contrib non-free
# security updates
deb https://deb.debian.org/debian-security stretch/updates main contrib non-free
# deb https://deb.debian.org/debian stretch-backports main contrib non-free
deb https://linux.dell.com/repo/community/ubuntu jessie openmanage
Ensuite vous pouvez lancer les mises à jour :
# apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get clean
Cela peut passer pour overkill, mais le HTTPS permet d'empêcher facilement la modification des flux (et cela règle donc mon soucis initial) et de protéger un peu ce que l'on fait avec son serveur.