数週間前、Kali インフラストラクチャに HTTPS サポートを追加し、ユーザーにガイダンスを提供して新機能を指摘したいと考えました。 Kali Linux ダウンロード ページ (および shasums) は常に HTTPS 経由で提供されてきましたが、ミラー リダイレクタはそうではありませんでした。毎週イメージを生成するようになった今、ミラー リダイレクタへの安全なアクセスが重要になっています。
https://cdimage.kali.org
これが Kali Image Mirror Redirector です。このサーバーは、公式ダウンロード ページからのダウンロード要求を受け入れ、地理的に最も近いミラーから要求されたファイルを提供します。これは、Kali ウィークリー ビルドのダウンロード ポイントでもあり、最新の HTTPS サポートを備えています。 HTTPS 経由でこのリダイレクタにヒットすると、リクエストは SSL 対応のダウンロード サーバーにリダイレクトされますが、暗号化されていない HTTP リクエストは HTTP 対応のミラーにリダイレクトされます。キャッチはどこですか?寄贈されたすべてのミラーが HTTPS をサポートしているわけではないため、このトランスポートを選択すると、ダウンロード速度が遅くなる可能性があります。 HTTP 経由で Kali イメージをダウンロードすることはセキュリティ上の懸念事項ですか?ダウンロードしたイメージを GPG 検証する場合は違います。
https://http.kali.org
cdimage.kali.org で HTTPS を有効にした結果、apt もサポートされるようになりました。 HTTPS トランスポート。これは、実際の Kali パッケージ リポジトリが HTTPS をサポートできることを意味し、その結果、暗号化された Kali の更新とアップグレードが行われます。驚くべきことに、これは更新/アップグレード プロセスに多くのセキュリティを追加しません (理由が気になる方はこちらをお読みください)。 apt を有効にするには HTTPS トランスポート。最初に apt-transport-https パッケージがインストールされ (毎週のイメージと今後のリリースでデフォルトでインストールされます)、以下に示すように、sources.list ファイルで HTTPS トランスポートを有効にします。
[email protected]:~# apt install apt-transport-https
[email protected]:~# cat /etc/apt/sources.list
deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib
[email protected]:~#
これで、ミラーに対して実行されるすべての更新またはアップグレード操作で HTTPS が有効になります:
[email protected]:~# apt update
Hit:1 https://archive-3.kali.org/kali kali-rolling InRelease
Reading package lists... Done
[email protected]:~#
寄贈されたすべてのミラーが HTTPS をサポートしているわけではないため、HTTPS トランスポートに移行すると、最適化されていないミラーが選択され、ダウンロード速度が遅くなる可能性があります。適切な HTTPS トランスポートに移行してもセキュリティが強化されるわけではないため、そうする必要があると思われる場合にのみ行ってください!