Dlaczego nie przesyłają pakietów do normalnego repozytorium pakietów? Czy to ogólna konwencja (IE, czy inne dystrybucje również oddzielają repozytoria)?
Dlaczego nie przesyłają pakietów do normalnego repozytorium pakietów? Czy to ogólna konwencja (IE, czy inne dystrybucje również oddzielają repozytoria)?
Odpowiedzi:
Debian ma kanał dystrybucji, który zapewnia tylko aktualizacje zabezpieczeń, dzięki czemu administratorzy mogą zdecydować się na uruchomienie stabilnego systemu z absolutnym minimum zmian. Ponadto ten kanał dystrybucji jest nieco oddzielony od normalnego kanału: wszystkie aktualizacje zabezpieczeń są dostarczane bezpośrednio z security.debian.org
, podczas gdy zaleca się stosowanie kopii lustrzanych do wszystkiego innego. Ma to wiele zalet. (Nie pamiętam, które z tych oficjalnych motywów przeczytałem na listach dyskusyjnych Debiana, a które są moją własną mini-analizą. Niektóre z nich zostały omówione w FAQ bezpieczeństwa Debiana .)
security.debian.org
wskazuje na działający serwer, aktualizacje bezpieczeństwa mogą być dystrybuowane.security.debian.org
mógłby wypchnąć pakiet o nowszym numerze wersji. W zależności od charakteru exploita i terminowości odpowiedzi może to wystarczyć, aby niektóre maszyny nie zostały zainfekowane lub przynajmniej ostrzec administratorów.security.debian.org
. Ogranicza to możliwości atakującego próbującego obalić konto lub komputer w celu wstrzyknięcia złośliwego pakietu.security.debian.org
przepuszcza tylko .security.debian.org
rozwiązuje wiele adresów, więc może jest to pula maszyn, nawet jeśli technicznie nie ma kopii lustrzanych.
Jestem prawie pewien, że Debian umieszcza również aktualizacje bezpieczeństwa w regularnym repozytorium.
Powodem posiadania osobnego repozytorium, które zawiera tylko aktualizacje zabezpieczeń, jest to, że możesz skonfigurować serwer, tylko skierować go na repozytorium zabezpieczeń i zautomatyzować aktualizacje. Teraz masz serwer, który gwarantuje najnowsze poprawki bezpieczeństwa bez przypadkowego wprowadzania błędów spowodowanych przez niekompatybilne wersje itp.
Nie jestem pewien, czy ten dokładny mechanizm jest używany przez inne dystrybucje. Istnieje yum
wtyczka do obsługi tego rodzaju rzeczy dla CentOS, a Gentoo ma obecnie bezpieczną listę mailingową ( portage
jest obecnie modyfikowana w celu obsługi aktualizacji tylko dla bezpieczeństwa). Zarówno FreeBSD, jak i NetBSD zapewniają sposoby przeprowadzania audytów bezpieczeństwa zainstalowanych portów / pakietów, które dobrze integrują się z wbudowanymi mechanizmami aktualizacji. Mówiąc ogólnie, podejście Debiana (i prawdopodobnie Ubuntu, ponieważ są one tak blisko powiązane) jest jednym z lepszych rozwiązań tego problemu.
Pomaga w dwóch rzeczach:
mogą istnieć inne powody, ale są to dwa, które uważam za przydatne
security.debian.org
. Nie znam szczegółów implementacji.