Ist es möglich, wenn man https sources hast, die lokal zu verwenden mit apt-cacher-ng?
z.b funktioniert im LAN nur http
Remap-skypeforlinux: http://repo.skype.com/deb ; https://repo.skype.com/deb
https geht nicht obwohl ich
PassThroughPattern: .*
auch drin habe.
Also sowas geht nicht. Leider
Remap-skypeforlinux: https://repo.skype.com/deb
thx
apt-cacher-ng , lokal im LAN https sources?
Re: apt-cacher-ng , lokal im LAN https sources?
jetzt ist mir noch was eingefallen, vielleicht liegt es an den Clienten /etc/apt/apt.conf
da steht ja nur:
Acquire::http::Proxy "http://172.21.0.12:3142";
müsste ich vielleicht nur noch ne Zeile für https kopieren.
die Tage mal testen..
Aber nicht mit skypeforlinux, da installiert eh jedesmal neu mit nem wget was. Das löscht man am besten weg, und macht nur selber ein wget script , mit anschliessendem rm /etc/apt/sources.list.d/sykpeforlinux.list was..... es nützt nähmlich nix, jedes mal die gleiche Version nochmals drüber installen.
Was ähnliches ist mit teamviewer, die /etc/apt/sources.list.d/teamviewer.list kann man auch getrost wegknallen, Von Hand per Browser holt man sich ne 14.2 Version, die install haut eben die treamviewer.list rein, und auf der Source liegt wirklich nur eine 13.2er Version rum. Also auch besser selber wget teamviewer script bauen, und nach dem install auch die aufgezwungene teamviewer.list löschen.
das andere mit dem Acquire::https muss ich die tage mal testen.
da steht ja nur:
Acquire::http::Proxy "http://172.21.0.12:3142";
müsste ich vielleicht nur noch ne Zeile für https kopieren.
die Tage mal testen..
Aber nicht mit skypeforlinux, da installiert eh jedesmal neu mit nem wget was. Das löscht man am besten weg, und macht nur selber ein wget script , mit anschliessendem rm /etc/apt/sources.list.d/sykpeforlinux.list was..... es nützt nähmlich nix, jedes mal die gleiche Version nochmals drüber installen.
Was ähnliches ist mit teamviewer, die /etc/apt/sources.list.d/teamviewer.list kann man auch getrost wegknallen, Von Hand per Browser holt man sich ne 14.2 Version, die install haut eben die treamviewer.list rein, und auf der Source liegt wirklich nur eine 13.2er Version rum. Also auch besser selber wget teamviewer script bauen, und nach dem install auch die aufgezwungene teamviewer.list löschen.
das andere mit dem Acquire::https muss ich die tage mal testen.
Re: apt-cacher-ng , lokal im LAN https sources?
ich habe mal Aquire auf https und sogar mit nem Port höher noch parallel dazu versucht. Ich kriege die lokal nicht hin.
Gut dann fahr ich mal nur http sources im LAN, mein Proxy macht dann ja https draus.
hmmm
Aber wäre hübsch, wenn man die orginalen Sources einfach copy/pasten könnte.
Wenn jemand noch eine Idee hat?
Gut dann fahr ich mal nur http sources im LAN, mein Proxy macht dann ja https draus.
hmmm
Aber wäre hübsch, wenn man die orginalen Sources einfach copy/pasten könnte.
Wenn jemand noch eine Idee hat?
Re: apt-cacher-ng , lokal im LAN https sources?
Debian wehrt sich nicht umsonst so sehr gegen apt und https: Es ist einfach eine dämliche Idee.
https gibt dir zwei sachen
a) Geheimhaltung der Inhalte
b) Fälschugssicherheit. Zwischen Server und Client.
apt überprüft die Pakete aber schon immer schon auf Echtheit mit pgp. Das macht auch Sinn. Du willst ja nicht sicherstellen, das das Paket das ist, das auf dem Mirror (Server) lag sonder das es das Echte Paket vom Dabianmaintainer ist. Vom Mint Projekt wurden z.B. mal die wichtigsten Mirrors gehackt. War völlig unproblematisch, da apt feststellen konnte, das das nicht die originalen Pakete waren. Lediglich die leute die sich die Installationscd in den zwei Stunden in denen der Server kompromitiert war heruntergeladen haben (und nicht die Hashes nicht mit gpg geprüft hat.) hatte ein Problem. es macht b) also völlig unnötig.
Und jetzt kommen wir zu a) Was wirst du wohl von einem Dabian-Mirror runter laden? – Dabianpakete. Und so viele gibts davon nicht. Wer wissen will welches du da lädst guckt sich einfach an wieviel du runter lädst. (apt macht für jedes Paket eine neue Verbindung auf.) und guckt welches Paket genau die Größe hat. Kurz a) ist sinnlos.
Jetzt könnte man sagen: Aber es schadet doch nichts.
Aber: Dadurch das modernes* TLS verschlüsselt kann dein (und jeder andere) Proxy ja nicht mit lesen. Die Anfrage nach dem Paket ist ja verschlüsselt ist und auch die antworten jedes mal anders aussehen. (Da mit einem anderen Key verschlüsselt.) Den Anfrage muss also immer zum letzten Server gehen. Es wird also prinzipiell sogar von mehr Leuten gesehen, was du ziehst und verursacht unnötig Last im Internet. (Wobei Proxys beim Provider dank https eh immer mehr aussterben.) Die alternative ist apt-cache als eigene Quelle (und nicht als Proxy einzutragen.) Dann will apt nur noch dass die Pakete wirklich vom verschlüsselt sind. (Statt vom Original Mirror.) Dann brauchst du aber ein Zertifikat, dass du wirklich die Quelle bist (kannst du dir selbst erzeugen) und musst apt beibringen, dass das vertrauenswürdig ist. Das geht zwar prinzipiell aber dann hast du zuslätzlich zur unnötigen lasst nochmal 2 unnötige ver- und entschlüsslungen (Und vor allem 2 teure Schlüssel Erzeugungen und Austäsche) das ist zwar bei heutiger Hardware nicht mehr die Welt (Mit einem nginx irgend was in der Größenordnung 1mWh (je nach Hardware und Parametern auch mal Faktor 10 oder 100 daneben.) pro Paket) aber halt unnötig.
* Früher gab es mal für die Zwecke solche Zwecke mal den NULL cipher. Da hätte man mitlesen (aber nicht cachen) können. Der ist aber schon lange raus.
https gibt dir zwei sachen
a) Geheimhaltung der Inhalte
b) Fälschugssicherheit. Zwischen Server und Client.
apt überprüft die Pakete aber schon immer schon auf Echtheit mit pgp. Das macht auch Sinn. Du willst ja nicht sicherstellen, das das Paket das ist, das auf dem Mirror (Server) lag sonder das es das Echte Paket vom Dabianmaintainer ist. Vom Mint Projekt wurden z.B. mal die wichtigsten Mirrors gehackt. War völlig unproblematisch, da apt feststellen konnte, das das nicht die originalen Pakete waren. Lediglich die leute die sich die Installationscd in den zwei Stunden in denen der Server kompromitiert war heruntergeladen haben (und nicht die Hashes nicht mit gpg geprüft hat.) hatte ein Problem. es macht b) also völlig unnötig.
Und jetzt kommen wir zu a) Was wirst du wohl von einem Dabian-Mirror runter laden? – Dabianpakete. Und so viele gibts davon nicht. Wer wissen will welches du da lädst guckt sich einfach an wieviel du runter lädst. (apt macht für jedes Paket eine neue Verbindung auf.) und guckt welches Paket genau die Größe hat. Kurz a) ist sinnlos.
Jetzt könnte man sagen: Aber es schadet doch nichts.
Aber: Dadurch das modernes* TLS verschlüsselt kann dein (und jeder andere) Proxy ja nicht mit lesen. Die Anfrage nach dem Paket ist ja verschlüsselt ist und auch die antworten jedes mal anders aussehen. (Da mit einem anderen Key verschlüsselt.) Den Anfrage muss also immer zum letzten Server gehen. Es wird also prinzipiell sogar von mehr Leuten gesehen, was du ziehst und verursacht unnötig Last im Internet. (Wobei Proxys beim Provider dank https eh immer mehr aussterben.) Die alternative ist apt-cache als eigene Quelle (und nicht als Proxy einzutragen.) Dann will apt nur noch dass die Pakete wirklich vom verschlüsselt sind. (Statt vom Original Mirror.) Dann brauchst du aber ein Zertifikat, dass du wirklich die Quelle bist (kannst du dir selbst erzeugen) und musst apt beibringen, dass das vertrauenswürdig ist. Das geht zwar prinzipiell aber dann hast du zuslätzlich zur unnötigen lasst nochmal 2 unnötige ver- und entschlüsslungen (Und vor allem 2 teure Schlüssel Erzeugungen und Austäsche) das ist zwar bei heutiger Hardware nicht mehr die Welt (Mit einem nginx irgend was in der Größenordnung 1mWh (je nach Hardware und Parametern auch mal Faktor 10 oder 100 daneben.) pro Paket) aber halt unnötig.
* Früher gab es mal für die Zwecke solche Zwecke mal den NULL cipher. Da hätte man mitlesen (aber nicht cachen) können. Der ist aber schon lange raus.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: apt-cacher-ng , lokal im LAN https sources?
Vermutlich muss ich es über ein Apache Proxy schlaufen, dann ist viel mehr machbar.
Der hat aber noch kein ssl aktivert, müsste man noch eine erstellen dazu mit .conf.ssl
http://ghanima.net/doku.php?id=blog:apt-cacher-ng
Dann könnte wenn jemand Ubuntu auch drüber cachen will, noch die extensions.gnome.org störrungsfrei durchkriegen. Ich bin aber Debian user und die meisten hier.
Und private/kommerzielle deb Pakete aus der Industrie auch im LAN sicher verteilen. Also nur für authorizierte Personen/Anlageteile
cue
Der hat aber noch kein ssl aktivert, müsste man noch eine erstellen dazu mit .conf.ssl
http://ghanima.net/doku.php?id=blog:apt-cacher-ng
Dann könnte wenn jemand Ubuntu auch drüber cachen will, noch die extensions.gnome.org störrungsfrei durchkriegen. Ich bin aber Debian user und die meisten hier.
Und private/kommerzielle deb Pakete aus der Industrie auch im LAN sicher verteilen. Also nur für authorizierte Personen/Anlageteile
cue
-
jph
- Beiträge: 1049
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: apt-cacher-ng , lokal im LAN https sources?
Nein; weshalb das so ist, hat wanne bereits ausgeführt.peacok hat geschrieben:26.11.2018 08:37:05Ist es möglich, wenn man https sources hast, die lokal zu verwenden mit apt-cacher-ng?
Du kannst apt anweisen, für die https-Sourcen den eingestellten Proxy zu umgehen. Dann funktioniert es wenigstens für den Rest. Für Skype musst du in der /etc/apt/apt.conf.d/02proxy (oder in welcher Datei auch immer du die Nutzung des Proxys auf dem Client konfigurierst) folgende Zeile einfügen:
Code: Alles auswählen
Acquire::http::proxy::repo.skype.com "DIRECT";