apt-cacher-ng für apt-update/upgrade

Re(4): apt-cacher-ng für apt-update/upgrade

colo — Sun, 10 Jan 2021 21:14:40 GMT

Und wodurch identifizerst du das, das nicht raus darf? Per Ethernet-HWaddr oder IPaddr? :D

Dann wissen wir ja wohl beide, dass das reine Augenauswischerei ist, wenn die boese unbekannte Malware nur motiviert genug verfasst wurde. In einem Heimnetzwerk bietet so eine Policy vielleicht ein tolles Gefuehl fuer jemanden, der noch nie von z. B. 802.1x gehoert hat - ist aber sonst nur ein inakzetables Komfortminus mit false sense of security, wenn mal jemand der nicht-Nerds im Haushalt irgendwas machen will, was die Phantasie des Einrichtenden uebersteigt (z. B einen neuen Laptop ins WLAN haengen).

Wenn ich als Geheimdienst oder Verbrecher einen Kanal zum Verbreiten meiner Super-Malware suchen wuerde, haette ich wohl auch (sowas wie) Solarwinds gefunden. Oder eine andere "Enterprise"-Software aus einem "Enterprise"-Software-Saftladen, wo jedes Werbeversprechen in Punkto Features und vor allem Sicherheit bereitwillig von den Einkaeufern bei den Kunden geschluckt wird, und man niemals kritisch hinterfragt, was da eigentlich fuer ein Dreck in den 5GB-Installationspaketen steckt, die froehlich am Paketfilter herumschrauben und eine Hand voll Services als SYSTEM laufen haben nach getaner Arbeit.

Re(3): apt-cacher-ng für apt-update/upgrade

Paulas_Papa — Sun, 10 Jan 2021 14:58:13 GMT

Wer nicht nachweislich raus MUSS, darf nicht raus. Fertig. Du kannst nicht ausschließen, dass in irgendeinem über 95 Dependencies nachgeladenem Paket eine Call Home Funktion schlummert. Und daher haben gerade solche unscheinbaren aber mächtigen Geräte wie Raspis auf der FW generell einmal ein Drop.

Ich versuche hier nur zu erklären, wie Profis ihre Umgebung aufbauen. Wenn Amateure lieber auf Glück setzen, ist mir das sehr egal.

Die kranke Annahme, dass etwas, das Open Source ist, per se sauber ist, wundert mich immer wieder. Als Geheimdienst oder Verbrecher würde ich bevorzugt über diesen Kanal meine Backdoors verteilen.

Re(2): apt-cacher-ng für apt-update/upgrade

colo — Sun, 10 Jan 2021 14:26:54 GMT

Dass er nur von vertrauenswürdigen Seiten seine Downloads macht, kannst du
auch auf der FW regeln. Damit verhinderst du auch, dass böser Code auf
anderen Raspis ihn quasi als Proxy missbraucht.

Sinnlose Uebung; apt-cacher-ng und Konsorten sind keine generischen Proxies und nehmen ohnehin nur Kontakt mit definierten Debian-Mirrors auf. Da die aber durchaus mal ihren "Ort" wechseln koennen (die uebertragenen Payloads aber per GnuPG signiert und authentifizert sind), macht man sich mit so einer Regel im besten Fall mehr Aufwand, und im schlechtesten Fall den Update-Workflow kaputt.

Die anderen Raspis wiederum sollten auf der FW geblockt werden.

Wieso bzw. wozu? Ich zitiere einen weisen Mann: "Er baut ja selbst die Verbindung nach außen durch die Firewall auf. Solange auf der FW kein Port in seine Richtung freigeschaltet ist, sollte das sicher sein."

Man kann alles komplizierter machen, als es sein muss. Am Ende steht man dann vor Kubernetes, in dem irgendwo per `curl ... | sudo bash` eingekippte, via Helm Chart deployte Operatoren undurchsichtige Magie wirken, und die kein fuenfkoepfiges Team dieser Welt mehr verstehen kann.

Re: apt-cacher-ng für apt-update/upgrade

colo — Sun, 10 Jan 2021 14:20:23 GMT

Fuer diesen Betriebsmodus wirst du einen kompletten Mirror brauchen, fuerchte ich. Wenn apt-cacher-ng (last I checked war die Impl. Muell, und approx das bessere Programm fuer den Zweck) noch immer so funktioniert wie vor einigen Jahren, ist das i. w. ein caching proxy fuer deinen apt-mirror - aber kein partieller apt-mirror, der magisch wissen kann, welche Pakete seine Downstreams brauchen/fetchen werden.

Re: apt-cacher-ng für apt-update/upgrade

Paulas_Papa — Fri, 08 Jan 2021 20:32:29 GMT

Er baut ja selbst die Verbindung nach außen durch die Firewall auf. Solange auf der FW kein Port in seine Richtung freigeschaltet ist, sollte das sicher sein.

Dass er nur von vertrauenswürdigen Seiten seine Downloads macht, kannst du auch auf der FW regeln. Damit verhinderst du auch, dass böser Code auf anderen Raspis ihn quasi als Proxy missbraucht.

Die anderen Raspis wiederum sollten auf der FW geblockt werden.

apt-cacher-ng für apt-update/upgrade

virus — Fri, 08 Jan 2021 15:53:24 GMT

servus,
ich hab auf einem raspi den apt-cacher-ng installiert. dieser sollte nur hi und da ins internet, um sich mittels apt-update/upgrade die updates holen und danach wieder ins isolierte netzt, damit sich die restlichen pis dieselben updates auch vom raspi mit dem cacher holen. funktioniert das, ohne dass dieser pi dann im internet hängt.
thx