https://opennet.ru/openforum/vsluhforumID10/5377.html дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через сеть,контроллируемую злоумышленниками <br>задача:произвести обновления операционной системы и ПО<br><br>Какие есть варианты?<br> https://opennet.ru/openforum/vsluhforumID10/5377.html#7 Thu, 26 May 2016 04:51:17 GMT &gt; apt делает это прямо из коробки, через любой протокол - http, ftp... <br>&gt; Пакеты подписаны, ключи пользователям известны. Враг не пройдёт.<br><br>И не только АПТ, ЮМ, ДНФ, РАКМАН - тоже проверяют подписи пакетов....<br><br>Или стройте ВПН мимо контролеров...<br> https://opennet.ru/openforum/vsluhforumID10/5377.html#6 Mon, 23 May 2016 12:14:24 GMT &gt;&gt; Заказать диск с обновлениями и попросить переслать DHL <br>&gt;&gt; :-) <br>&gt; Убунта ещё рассылает диски со своими релизами?<br><br>FedFX ... DHL дороже, можно использовать для обновления сеть Мегафон и.т.д. , WiMax и.т.д., можно копм домой взять и там обновить, <br> https://opennet.ru/openforum/vsluhforumID10/5377.html#5 Fri, 20 May 2016 00:31:11 GMT apt делает это прямо из коробки, через любой протокол - http, ftp...<br>Пакеты подписаны, ключи пользователям известны. Враг не пройдёт.<br> https://opennet.ru/openforum/vsluhforumID10/5377.html#4 Thu, 19 May 2016 16:27:01 GMT &gt; Заказать диск с обновлениями и попросить переслать DHL <br>&gt; :-) <br><br>Убунта ещё рассылает диски со своими релизами?<br> https://opennet.ru/openforum/vsluhforumID10/5377.html#3 Thu, 19 May 2016 12:20:08 GMT &gt; дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через <br>&gt; сеть,контроллируемую злоумышленниками <br>&gt; задача:произвести обновления операционной системы и ПО <br>&gt; Какие есть варианты?<br><br>Заказать диск с обновлениями и попросить переслать DHL<br>:-)<br><br> https://opennet.ru/openforum/vsluhforumID10/5377.html#2 Thu, 19 May 2016 11:59:38 GMT &gt;&gt; дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через <br>&gt;&gt; сеть,контроллируемую злоумышленниками <br>&gt;&gt; задача:произвести обновления операционной системы и ПО <br>&gt;&gt; Какие есть варианты?<br>&gt; ipsec, ssh, https <br><br>))<br><br>https в этот ряд я бы не ставил, т.к. вероятнее всего certificate pinning не подразумевается, а некие злоумышленники могут использовать скомпрометированный CA.<br><br>вариант тут собственно один: обеспечить аутентификацию процесса получения обновления, либо аутентификацию соединения, через которое получаем обновления (как раз упомянутые IPSEC, SSH, HTTPS), либо аутентификацию полученного обновления (цифровая подпись, сверка контрольных сумм с заведомо достоверными).<br><br>Всё это применяется в любых адекватных процессах обновления ОС и ПО, т.к. интернет - это и есть сеть, контролируемая злоумышленниками.<br> https://opennet.ru/openforum/vsluhforumID10/5377.html#1 Thu, 19 May 2016 10:48:05 GMT &gt; дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через <br>&gt; сеть,контроллируемую злоумышленниками <br>&gt; задача:произвести обновления операционной системы и ПО <br>&gt; Какие есть варианты?<br><br>ipsec, ssh, https<br><br><br>