APT-GET UPDATE in "Sicherer Umgebung"

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
L4SCHI
Beiträge: 9
Registriert: 20.04.2018 10:27:13

APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von L4SCHI » 20.04.2018 10:47:24

Hallo liebe Debian-Freunde!

Ich habe eine Frage zu apt-get update.

Zu erst einmal zu meiner Konstellation:
In einem "sicheren" Netzwerk in welchem ich grundsätzlich keinen Internetzugang habe läuft ein Debian 9.1.
Um Debian 9.1 zu aktualisieren kann ich jedoch beim Netzwerkbetreiber um Firewallfreischaltungen für die betroffenen URL's und IP-Adressen ansuchen.
Jedoch habe ich nun die Erfahrung gemacht, dass nicht nur die URL's welche sich in der sources.list befinden angefragt werden, sondern auch andere wie z.B.
prod.debian.map.fastly.net (151.101.112.204) oder security-cdn.debian.org (151.101.36.204) usw.

Da ich die URL's erst dann sehe, wenn die Verbindung dahin nicht hergestellt werden kann, komme ich in die Bredouille dass ich für jede URL ein eigenes Ansuchen starten muss.
Um die Netzwerkbetreiber nicht zu verärgern würde ich gern eine Liste mit allen benötigten URL's und IP-Adressen erstellen.

Nun zu meiner Frage: Kann ich diese URL's irgendwo abfragen? Gibt es da eine Liste? Sind die dynamisch?

Ich hoffe ihr könnt mir helfen.

Mit besten Grüßen
L4SCHI

Benutzeravatar
smutbert
Moderator
Beiträge: 8316
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von smutbert » 20.04.2018 11:09:54

Willkommen im Debianforum,

Du verwendest offensichtlich deb.debian.org als Repository und das security-Gegenstück, das dich abhängig davon wo der PC steht zu einem Mirror in deiner Nähe umleitet. (Möglicherweise/vermutlich sogar so, dass du vorher gar nicht sicher sein kannst, bei welchem Server du dann landest – also denkbar ungünstig für dein Vorhaben.)

Leichter machen kannst du dir die ganze Sache, wenn du selbst einen normalen Mirror angibst. Also sieh dir einfach deine »/etc/apt/sources.list« und falls vorhanden .list-Dateien in »/etc/apt/sources.list.d/« an und ersetze dort deb.debian.org und security-cdn.debian.org durch ftp.de.debian.org und security.debian.org.
Danach sollten nur mehr diese Server gebraucht werden.
Im Zweifelsfall kannst du auch einfach deine sources.list und eventuell weitere .list-Dateien posten.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von MSfree » 20.04.2018 11:18:45

Du möchtest nicht wirklich alle Debianmirrors beim Provider freischalten lassen :wink:
https://www.debian.org/mirror/list

Es ist viel sinnvoller, einen in der o.g. Liste genanten Mirror in deine /etc/apt/sources.list einzutragen. Der Defaultmirror ist nämlich eine Adresse, die per Loadballancing auf einen Mirror weiterleitet, der gerade wenig zu tun hat. Durch den Eintrag eines dedizierten Mirrors, z.B. ftp.stw-bonn.de, bzw. einen in der Nähe deiner Stadt, muß dein Provider nur diesen einen Server für dich freischalten.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von bluestar » 20.04.2018 15:45:13

Ich würde dir dazu raten auf einem anderen System apt-cacher-ng zu installieren und diesen als Proxy auf dem sicheren System zu konfigurieren...

Dann musst du nur per Firewall den Zugriff auf den apt-chacher-ng verbieten und dein Sytem ist offline und sicher.

Benutzeravatar
L4SCHI
Beiträge: 9
Registriert: 20.04.2018 10:27:13

Re: APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von L4SCHI » 20.04.2018 16:46:37

Hallo Smutbert!

Ja das ist korrekt. In der sources.list gibt es deb-Einträge. Ich habe diese nun durch ftp.at (Österreich) ersetzt.
Blöd nur, dass ftp.at..., ftp2.de, usw. alle auf prod.debian.map.fastly.net (151.101.112.204) weiterleiten. Was ist das eigentlich für eine URL?
Komme wohl nicht herum diese URL nochmal freischalten zu lassen.

@MSfree - Danke für die Liste :-) -> Du hast Recht... alle werde ich nicht freischalten lassen :D

LG
L4SCHI

Benutzeravatar
smutbert
Moderator
Beiträge: 8316
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von smutbert » 20.04.2018 16:58:40

prod.debian.map.fastly.net macht die Umleitung auf einen nahen (oder schnellen) Mirror – ich habe nicht gewußt, dass das bei ftp.at.debian.org, … auch passiert, aber es gibt ja genug andere Spiegel. Ich habe es jetzt nicht getestet, aber ich kann mir nicht vorstellen, dass das zum Beispiel auch für ftp.tu-graz.ac.at/mirror/debian gilt.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: APT-GET UPDATE in "Sicherer Umgebung"

Beitrag von eggy » 20.04.2018 17:02:26

Du könntest auch mal beim Provider nachfragen, ob die reinzufällig nen eigenen Mirror betreiben.

Antworten