レポサーバーのIPホワイトリストを取得する(Ubuntu 16.04)
米国中にはさまざまなUbuntuアプライアンスが配備されています。最近、更新を実行する必要があるリポジトリのIPホワイトリスト(FQDNホワイトリストではなく)のリクエストを取得するいくつかの状況に遭遇しました(独自の課題があるため、独自のホストを回避しようとしています)。
現在サーバーが到達するものを見てみると、次のことがわかります。
root@VamLab-Server:/etc# Dig +short $(grep -Pho '^\s*[^#].*?https?://\K[^/]+' /etc/apt/sources.list /etc/apt/sources.list.d/*.list | sort -u) | sort -u
91.189.88.149
91.189.88.152
91.189.88.161
91.189.88.162
91.189.91.23 <--both security and archive
91.189.91.26 <--both security and archive
root@VamLab-Server:/etc# cat /etc/apt/sources.list | grep -v "#"
deb http://us.archive.ubuntu.com/ubuntu/ xenial main restricted
deb http://us.archive.ubuntu.com/ubuntu/ xenial-updates main restricted
deb http://us.archive.ubuntu.com/ubuntu/ xenial universe
deb http://us.archive.ubuntu.com/ubuntu/ xenial-updates universe
deb http://us.archive.ubuntu.com/ubuntu/ xenial multiverse
deb http://us.archive.ubuntu.com/ubuntu/ xenial-updates multiverse
deb http://us.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu xenial-security main restricted
deb http://security.ubuntu.com/ubuntu xenial-security universe
deb http://security.ubuntu.com/ubuntu xenial-security multiverse
Ubuntuから統計の正式なリストを取得する方法はありますか?私はFQDNホワイトリストの推奨事項を知っていますが、一部のお客様には、必要なFQDNルールを追加するためのハードウェアまたは機能が不足しています。お客様がファイアウォールルールを追加するには、IP部門を通過する必要があるため、場合によっては数週間かかることがあります。そのため、お客様の不満と技術サポートの時間でそれぞれのステップを先に進めることができるかどうかを確認しようとしています。
前もって感謝します!
これを管理する最も簡単な方法は、おそらく、サイトで使用するプライベートミラーまたはプライベートプロキシサーバーを構成することです。
パブリックミラーは、予告なしにIPを変更し、アップデートへのアクセスを許可しない場合があります。独自のミラーまたはプロキシを実行すると、そのプロキシのURLレベルでホワイトリストに登録し、ファイアウォールを介してそのプロキシのIPを許可できます。
apt-cache を見てキャッシングリポジトリを実行するか、Squidなどのクラシックプロキシを実行し、onlyたとえば宛先として* .ubuntu.com。
IPの信頼できるリストを維持しようとするよりも、このアプローチに費やす時間は少ないでしょう。
現在のIPのリストをつなぎ合わせることができる場合もありますが、ミラーを実行しているCanonicalまたは他の関係者は、適切と思われる場合にIPを変更しないという保証をほとんど与えません。それが、DNSを持つすべての理由です。柔軟性。
更新なしで数週間になる可能性があります。私の世界では、それは明らかに受け入れがたい立場です。独自のホワイトリスト、プロキシ、またはプライベートミラーを実行してください。