Dlaczego istnieje osobne repozytorium pakietów aktualizacji zabezpieczeń Debiana?

Dlaczego nie przesyłają pakietów do normalnego repozytorium pakietów? Czy to ogólna konwencja (IE, czy inne dystrybucje również oddzielają repozytoria)?

Debian ma kanał dystrybucji, który zapewnia tylko aktualizacje zabezpieczeń, dzięki czemu administratorzy mogą zdecydować się na uruchomienie stabilnego systemu z absolutnym minimum zmian. Ponadto ten kanał dystrybucji jest nieco oddzielony od normalnego kanału: wszystkie aktualizacje zabezpieczeń są dostarczane bezpośrednio z security.debian.org, podczas gdy zaleca się stosowanie kopii lustrzanych do wszystkiego innego. Ma to wiele zalet. (Nie pamiętam, które z tych oficjalnych motywów przeczytałem na listach dyskusyjnych Debiana, a które są moją własną mini-analizą. Niektóre z nich zostały omówione w FAQ bezpieczeństwa Debiana .)

• Aktualizacje zabezpieczeń są rozpowszechniane natychmiast, bez opóźnień spowodowanych aktualizacjami lustrzanymi (które mogą wydłużyć około 1 dnia czasu propagacji).
• Lustra mogą się zestarzeć. Bezpośrednia dystrybucja pozwala uniknąć tego problemu.
• Jest mniej infrastruktury do utrzymania jako usługa krytyczna. Nawet jeśli większość serwerów Debiana jest niedostępna i ludzie nie mogą instalować nowych pakietów, tak długo, jak security.debian.orgwskazuje na działający serwer, aktualizacje bezpieczeństwa mogą być dystrybuowane.
• Lustra mogą być zagrożone (zdarzało się to w przeszłości). Łatwiej jest oglądać pojedynczy punkt dystrybucji. Gdyby atakującemu udało się gdzieś załadować złośliwy pakiet, security.debian.orgmógłby wypchnąć pakiet o nowszym numerze wersji. W zależności od charakteru exploita i terminowości odpowiedzi może to wystarczyć, aby niektóre maszyny nie zostały zainfekowane lub przynajmniej ostrzec administratorów.
• Mniej osób ma prawa do przesyłania security.debian.org. Ogranicza to możliwości atakującego próbującego obalić konto lub komputer w celu wstrzyknięcia złośliwego pakietu.
• Serwery, które nie potrzebują zwykłego dostępu do sieci, mogą znajdować się za zaporą ogniową, która security.debian.orgprzepuszcza tylko .

Jestem prawie pewien, że Debian umieszcza również aktualizacje bezpieczeństwa w regularnym repozytorium.

Powodem posiadania osobnego repozytorium, które zawiera tylko aktualizacje zabezpieczeń, jest to, że możesz skonfigurować serwer, tylko skierować go na repozytorium zabezpieczeń i zautomatyzować aktualizacje. Teraz masz serwer, który gwarantuje najnowsze poprawki bezpieczeństwa bez przypadkowego wprowadzania błędów spowodowanych przez niekompatybilne wersje itp.

Nie jestem pewien, czy ten dokładny mechanizm jest używany przez inne dystrybucje. Istnieje yumwtyczka do obsługi tego rodzaju rzeczy dla CentOS, a Gentoo ma obecnie bezpieczną listę mailingową ( portagejest obecnie modyfikowana w celu obsługi aktualizacji tylko dla bezpieczeństwa). Zarówno FreeBSD, jak i NetBSD zapewniają sposoby przeprowadzania audytów bezpieczeństwa zainstalowanych portów / pakietów, które dobrze integrują się z wbudowanymi mechanizmami aktualizacji. Mówiąc ogólnie, podejście Debiana (i prawdopodobnie Ubuntu, ponieważ są one tak blisko powiązane) jest jednym z lepszych rozwiązań tego problemu.

Pomaga w dwóch rzeczach:

1. bezpieczeństwo - najpierw uzyskaj poprawki bezpieczeństwa, a następnie będziesz narażony na mniejsze ryzyko podczas aktualizacji pozostałych
2. aktualizacje bezpieczeństwa powinny być przechowywane na wysokim poziomie bezpieczeństwa, ponieważ zwykle polegasz na nich, aby chronić resztę systemu, więc może to być tak, że ta repozytorium ma silniejszą kontrolę bezpieczeństwa, aby zapobiec kompromisowi

mogą istnieć inne powody, ale są to dwa, które uważam za przydatne