Автор Тема: Весенние стартеркиты p10 (202303)  (Прочитано 5488 раз)

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Re: Весенние стартеркиты p10 (202303)
« Ответ #45 : 20.05.2023 21:20:14 »
Что такое протокол http представление имеете? Ну нет там шифрования вообще. Протокол http запрещён?
да запрещен и доступа root нету.
Не запрещён, а не рекомендуем. Почувствуйте разницу.
И всего-навсего вопрос в доверии. При использовании https вы доверяете выдавшему сертификат, что сайт такой-то действительно является именно им. И всё. Ну там ещё шифрование траффика. Но при необходимости это обходится (гуглить на предмет "wireshark https")
Но целостность пакетов в репозитории проверяется другими сертификатами (подписанными пакетами), непосредственно от  Базальт, поэтому использоватие https избыточно.
На зеркале Яндекса
Зеркалу сбербанка не доверяю.
Если на зеркале Яндекса будет изменено содержимое пакета, то apt-get это заметит.
« Последнее редактирование: 20.05.2023 21:24:08 от Александр Ерещенко »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #46 : 21.05.2023 02:48:08 »
Не могу я ничего добавить, брат настроил crypto-policies и запретил http.

Угу. Включая и доверенные ftp-сервера по http.

могут похитеть платежные куки банка через http.

А брат вообще в курсе, что эти у вас хвалёные https:
https://rsync2.ru.gentoo.org/altlinux-starterkits/x86_64/release/
https://ftp5.ru.freebsd.org/altlinux-starterkits/x86_64/release/
https://mirror.debian.ru/altlinux-starterkits/x86_64/release/

имеют один и тот же подложный сертификат?, - сертификат яндекса.
Нифигасебе безопасность...

Через CopyPast с Enter, вообще забить на защиты:
rsync -rL --partial --progress rsync://nightly.altlinux.org/nightly/p10/permalink/{alt-p10-xfce-latest-x86_64.iso,MD5SUM,SHA256SUM} $HOME/starterkits/
Welcome to ALT Linux Team public rsync archive!

receiving incremental file list
created directory /home/ami/starterkits
MD5SUM
          2.337 100%    2,23MB/s    0:00:00 (xfr#1, to-chk=2/3)
SHA256SUM
          3.393 100%    3,24MB/s    0:00:00 (xfr#2, to-chk=1/3)
alt-p10-xfce-latest-x86_64.iso
  1.391.149.056 100%    2,86MB/s    0:07:43 (xfr#3, to-chk=0/3)

После синка, сверить контрольные суммы.

Если команду повесить на cron, с синком раз в квартал после 12-го, можно вообще не ломать себе мозг на свежесть образа. Он всегда будет свежим.
Очевидно же, что лень, двигатель прогресса: чуть напрячься и сделать один раз хорошо и потом вообще не напрягаться.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #47 : 21.05.2023 03:28:21 »
Ну или уж совсем синкать в режиме paranoid со всеми подробностями:
rsync -rL --partial --progress --checksum --stats -vvv rsync://nightly.altlinux.org/nightly/p10/permalink/{alt-p10-xfce-latest-x86_64.iso,MD5SUM,SHA256SUM} $HOME/starterkits/

Статистика будет, на каждый чих rsync-сервера. Во всех подробностях. Строк больше 80-ти. Чорта с два rsync обманешь.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #48 : 21.05.2023 05:32:25 »
Не могу я ничего добавить, брат настроил crypto-policies и запретил http.

Эм-м... Стоп.
Так вы теперь уже и потоковое суперстерео в 96 kHz 1400 kBit супер-качества в 4 байта на семпл уже не можете слушать? Сервера же такой поток отдают в http!
Ну он вам и "удружил"...

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #49 : 04.06.2023 09:03:40 »
Зеркалу сбербанка не доверяю.
Если на зеркале Яндекса будет изменено содержимое пакета, то apt-get это заметит.
сбербанк должен заниматься чем ему положенно, тоесть финансами. а если он ко мне в apt-get лезет,

man apt-repo

значит что-то здесь не так.

Пакетный менеджер не бабка-гадалка:
man apt-get | less -p '--print-uris$'

Безопасность в этом https так и прёт:
SSL_ERROR_BAD_CERT_DOMAIN
$ echo -e \
"rsync2.ru.gentoo.org\n\
ftp5.ru.freebsd.org\n\
mirror.debian.ru\n\
ru.releases.ubuntu.com\n\
debian.sbor.net\n\
be200.com\n\
debian.atknet.ru\n\
mirror.yandex.ru"\
 | while read line; \
do echo -e "\n\n$line"; openssl s_client -showcerts -connect $line:443 </dev/null \
| grep -A3 'Server certificate'; \
done

Не, ну нормально же, - один сертификат на всех сразу.
Это наше комьюнити глупостями занимается:
зеркало подняли, сертификат заверенный, официально подтверждён, обновляют регулярно, никому не разбазаривают.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #50 : 11.06.2023 13:12:29 »
Обновление скрипта:
левые https сертификаты не соответствующие доменным именам
$ echo -e \
> "rsync2.ru.gentoo.org\n\
> ftp5.ru.freebsd.org\n\
> mirror.debian.ru\n\
> ru.releases.ubuntu.com\n\
> ru.archive.ubuntu.com\n\
> debian.sbor.net\n\
> be200.com\n\
> debian.atknet.ru\n\
> mirror.yandex.ru"\
>  | while read line; \
> do echo -e "\n\n$line"; openssl s_client -showcerts -connect $line:443 </dev/null \
> | grep -A3 'Server certificate'; \
> echo; hostinfo $line; \
> done


rsync2.ru.gentoo.org
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: rsync2.ru.gentoo.org
 aliases:



ftp5.ru.freebsd.org
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases: ftp5.ru.freebsd.org



mirror.debian.ru
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases: mirror.debian.ru



ru.releases.ubuntu.com
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases: ru.releases.ubuntu.com



ru.archive.ubuntu.com
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases: ru.archive.ubuntu.com



debian.sbor.net
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases: debian.sbor.net



be200.com
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: be200.com
 aliases:



debian.atknet.ru
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases: debian.atknet.ru



mirror.yandex.ru
...
DONE
Server certificate
subject=C = RU, ST = Moscow, L = Moscow, O = Yandex LLC, CN = ftp.yandex.ru

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018

 address: 213.180.204.183
hostname: mirror.yandex.ru
 aliases:
$ openssl storeutl -noout -text -certs "rsync2.ru.gentoo.org.pem" | grep Issuer: -A4
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign RSA OV SSL CA 2018
        Validity
            Not Before: Mar 13 08:27:18 2023 GMT
            Not After : Oct 13 08:27:18 2023 GMT
        Subject: C=RU, ST=Moscow, L=Moscow, O=Yandex LLC, CN=ftp.yandex.ru
$ openssl storeutl -noout -text -certs "www-gentoo-org.pem" | grep Issuer: -A4
        Issuer: C=US, O=Let's Encrypt, CN=R3
        Validity
            Not Before: May 28 19:24:52 2023 GMT
            Not After : Aug 26 19:24:51 2023 GMT
        Subject: CN=www.gentoo.org

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #51 : 11.06.2023 13:23:11 »
Обнаружены ранее неизвестные зеркала с поддержкой протоколов http https rsync (Новокузнецк):
$ sed -n '1,24p; 79,104p' mirror.truenetwork.ru.txt
   Truenetwork Mirror mirror.truenetwork.ru [IMG]

                                                      Open Source Software Mirror

   All our mirrors of open source software are available via http, https and rsync.
   More information about our mirror server including statistics and information is available on our info pages.
   Hosted at Truenetwork, Russian Federation.

   SPEEDTEST FILES: 1GB 10GB

                                                              Index of /

   ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════

 ../
 CPAN/                                              08-Jun-2023 13:38       -
 CRAN/                                              08-Jun-2023 13:39       -
 CTAN/                                              08-Jun-2023 13:38       -
 LDP/                                               16-Apr-2021 04:05       -
 almalinux/                                         08-Jun-2023 10:34       -
 altlinux/                                          01-Mar-2022 20:26       -
 altlinux-beta/                                     29-May-2023 21:02       -
 altlinux-nightly/                                  15-Sep-2021 20:57       -
 apps/                                              22-Sep-2022 08:58       -

   ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════

                                                           powered by nginx

References

   Visible links
   . https://mirror.truenetwork.ru/
   . https://mirror.truenetwork.ru/
   . http://mirror.truenetwork.ru/
   . https://mirror.truenetwork.ru/
   . https://mirror.truenetwork.ru/.info/
   . https://truenetwork.ru/
   . https://mirror.truenetwork.ru/speedtest/1GiB
   . https://mirror.truenetwork.ru/speedtest/10GiB
   . https://mirror.truenetwork.ru/
   . https://mirror.truenetwork.ru/CPAN/
   . https://mirror.truenetwork.ru/CRAN/
   . https://mirror.truenetwork.ru/CTAN/
   . https://mirror.truenetwork.ru/LDP/
   . https://mirror.truenetwork.ru/almalinux/
   . https://mirror.truenetwork.ru/altlinux/
   . https://mirror.truenetwork.ru/altlinux-beta/
   . https://mirror.truenetwork.ru/altlinux-nightly/
   . https://mirror.truenetwork.ru/apps/
$ echo; hostinfo mirror.truenetwork.ru; echo -e "\nmirror.truenetwork.ru"; \
openssl s_client -showcerts -connect mirror.truenetwork.ru:443 </dev/null | \
grep 'Server certificate' -A3

 address: 94.247.111.11
hostname: mirror.truenetwork.ru
 aliases:


mirror.truenetwork.ru
...
DONE
Server certificate
subject=CN = mirror.truenetwork.ru

issuer=C = US, O = Let's Encrypt, CN = R3
$ openssl storeutl -noout -text -certs "mirror-truenetwork-ru.pem" | grep Issuer: -A4
        Issuer: C=US, O=Let's Encrypt, CN=R3
        Validity
            Not Before: May  4 12:15:24 2023 GMT
            Not After : Aug  2 12:15:23 2023 GMT
        Subject: CN=mirror.truenetwork.ru

Репозиторий:

        https://mirror.truenetwork.ru/altlinux/
        http://mirror.truenetwork.ru/altlinux/
        rsync://mirror.truenetwork.ru/altlinux/

Стартеркиты и регулярки:

        https://mirror.truenetwork.ru/altlinux-nightly/
        http://mirror.truenetwork.ru/altlinux-nightly/
        rsync://mirror.truenetwork.ru/altlinux-nightly/

Повешен фичреквест на apt-conf-sisyphus:
https://bugzilla.altlinux.org/46469

Добавлено на вики:
https://www.altlinux.org/Releases/Download
« Последнее редактирование: 11.06.2023 13:26:31 от Speccyfighter »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #52 : 11.06.2023 15:55:43 »
Обновление скрипта:
левые https сертификаты не соответствующие доменным именам
$ echo -e \
> "rsync2.ru.gentoo.org\n\
> ftp5.ru.freebsd.org\n\
> mirror.debian.ru\n\
> ru.releases.ubuntu.com\n\
> ru.archive.ubuntu.com\n\
> debian.sbor.net\n\
> be200.com\n\
> debian.atknet.ru\n\
> mirror.yandex.ru"\
>  | while read line; \
> do echo -e "\n\n$line"; openssl s_client -showcerts -connect $line:443 </dev/null \
> | grep -A3 'Server certificate'; \
> echo; hostinfo $line; \
> done
...

Думаете по этой ссылке сейчас ubuntu будет качаться с ubuntu.com?
$ wget https://ru.releases.ubuntu.com/ubuntu-cdimage/ubuntu-budgie/releases/23.04/release/ubuntu-budgie-23.04-desktop-amd64.iso
--2023-06-11 15:46:22--  https://ru.releases.ubuntu.com/ubuntu-cdimage/ubuntu-budgie/releases/23.04/release/ubuntu-budgie-23.04-desktop-amd64.iso
Распознаётся ru.releases.ubuntu.com (ru.releases.ubuntu.com)… 213.180.204.183, 2a02:6b8::183
Подключение к ru.releases.ubuntu.com (ru.releases.ubuntu.com)|213.180.204.183|:443... соединение установлено.
ОШИБКА: альтернативное имя субъекта сертификата не совпадает с именем
запрошенного узла «ru.releases.ubuntu.com».
Для небезопасного подключения к ru.releases.ubuntu.com используйте параметр «--no-check-certificate».
$ wget --no-check-certificate https://ru.releases.ubuntu.com/ubuntu-cdimage/ubuntu-budgie/releases/23.04/release/ubuntu-budgie-23.04-desktop-amd64.iso
--2023-06-11 15:47:19--  https://ru.releases.ubuntu.com/ubuntu-cdimage/ubuntu-budgie/releases/23.04/release/ubuntu-budgie-23.04-desktop-amd64.iso
Распознаётся ru.releases.ubuntu.com (ru.releases.ubuntu.com)… 213.180.204.183, 2a02:6b8::183
Подключение к ru.releases.ubuntu.com (ru.releases.ubuntu.com)|213.180.204.183|:443... соединение установлено.
ПРЕДУПРЕЖДЕНИЕ: альтернативное имя субъекта сертификата не совпадает с именем
запрошенного узла «ru.releases.ubuntu.com».
HTTP-запрос отправлен. Ожидание ответа… 200 OK
Длина: 3382654976 (3,1G) [application/octet-stream]
Сохранение в: «ubuntu-budgie-23.04-desktop-amd64.iso»

ubuntu-budgie-23.04-desktop-amd64   0%[                                                             ]  29,54M  2,73MB/s    ост 17m 53s^C

Ага. Щас! Аж бегом:
$ hostinfo 213.180.204.183
 address: 213.180.204.183
hostname: mirror.yandex.ru

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
Re: Весенние стартеркиты p10 (202303)
« Ответ #53 : 12.06.2023 10:46:29 »
я вас перенаправляю на другой сайт и отдаю iso образы со встроенным майнером или еще с чем нибудь интересным.

Сверяйте контрольные суммы всегда.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #54 : 12.06.2023 18:15:41 »
Думаете по этой ссылке сейчас ubuntu будет качаться с ubuntu.com?
я не знаю по каким вы там вирусным ссылкам яндекса лазаете. ...

Это не вирусная ссылка. Глаза разуй.

у меня все нормально: https://releases.ubuntu.com

The fingerprint of GRC's authentic security certificate:
releases.ubuntu.com releases.ubuntu.com 0F:10:AA:05:7E:81:04:05:9A:B4:D4:78:3C:8F:A7:07:0D:4B:F9:8D
https://releases.ubuntu.com/23.04/SHA256SUMS
a8cd6ccff865e17dd136658f6388480c9a5bc57274b29f7d5bd0ed855a9281a5 *ubuntu-23.04-desktop-amd64.iso
c7cda48494a6d7d9665964388a3fc9c824b3bef0c9ea3818a1be982bc80d346b *ubuntu-23.04-live-server-amd64.iso
203dbe36c3718300b3f1da6ac9c43e0b47ef6446e961274e69f242223219e69b *ubuntu-23.04-netboot-amd64.tar.gz

Хорош копипастить ubuntu.
Покажи мне вывод команды терминала, что это подписано самим разработчиком.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #55 : 12.06.2023 18:46:43 »
gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
...
gpg: Внимание: Данный ключ не заверен доверенной подписью!
gpg:           Нет указаний на то, что подпись принадлежит владельцу.
...

О чём и речь.
Вопрос закрыт.
К слову tor browser, безотказно возвращает подпись разработчика.
« Последнее редактирование: 12.06.2023 18:49:16 от Speccyfighter »

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
Re: Весенние стартеркиты p10 (202303)
« Ответ #56 : 12.06.2023 19:27:38 »
О чём и речь.
мне плевать чего там у них. у вас ни https зеркал чтобы проверить, ни подписи.

Качайте торрент. Файл торрента по https доступен.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Весенние стартеркиты p10 (202303)
« Ответ #57 : 12.06.2023 19:37:02 »
О чём и речь.
... у вас ни https зеркал ...

Ссылку на ваше же новокузнецкое зеркало с https дал. Снова глаза разуй. Наше местное зеркало, которое поддерживают старые волки debian, тоже поддерживает https http ftp rsync.

О чём и речь.
мне плевать чего там у них.

А чо тогда трёшь про ubuntu?

О чём и речь.
... у вас ни https зеркал чтобы проверить, ни подписи.

Не бреши.
education, slinux, workstation подписаны.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Весенние стартеркиты p10 (202303)
« Ответ #58 : 13.06.2023 07:20:40 »

Оффлайн Aviagr

  • Давно тут
  • **
  • Сообщений: 318
Re: Летние стартеркиты p10 (202306)
« Ответ #59 : 15.06.2023 10:04:52 »
Как у них дружба с UEFI?
Записал на флешку LXDE-586, на большом компе без УЕФИ стартует, а нетбучок Престижио вообще не видит (УЕФИ неотключаемо в биосе).
Официальный КДЕ-5 на нетбучке стартует, но падает с кернел-паник.
Роса-12 ставилась нормально (у них образы подразделялись на УЕФИ и без), сейчас Федора, т.к. Роса сама на нее перешла - зачем мне недоработанная копия?!