Debian güvenlik güncelleştirmeleri için neden ayrı bir paket deposu var?


18

Neden paketleri normal paket deposuna yüklemiyorlar? Bu genel bir kural mı (IE, diğer dağıtımlar depoları da ayırıyor mu)?


Başka bir dağıtımın bulunmamasını öneririm , bu muhtemelen aşırı uzun olabilir, ayrıca paket repo'yu da arşivleyerek? Tahmin ediyorum, ama bir svn / git dalı falan istemediğinizden emin olun.
xenoterracide

Yanıtlar:


16

Debian, yalnızca güvenlik güncelleştirmelerini sağlayan bir dağıtım kanalına sahiptir, böylece yöneticiler yalnızca mutlak minimum değişikliklerle kararlı bir sistem çalıştırmayı seçebilir. Ayrıca, bu dağıtım kanalı normal kanaldan biraz ayrı tutulur: tüm güvenlik güncellemeleri doğrudan beslenirken security.debian.org, diğer her şey için ayna kullanılması önerilir. Bunun bir takım avantajları vardır. (Bunlardan hangilerinin Debian posta listelerinde okuduğum ve kendi mini analizlerim olan resmi motivasyonlar olduğunu hatırlamıyorum. Bunlardan bazılarına Debian güvenlik SSS bölümünde değinildi .)

  • Güvenlik güncelleştirmeleri, ayna güncelleştirmelerinin (yaklaşık 1 günlük yayılma süresi ekleyebilir) gecikmesi olmadan hemen yayılır.
  • Aynalar bayat olabilir. Doğrudan dağıtım bu sorunu önler.
  • Kritik bir hizmet olarak bakım yapılacak daha az altyapı vardır. Debian'ın sunucularının çoğu kullanılamıyor olsa ve security.debian.orgçalışan bir sunucuya işaret ettiği sürece insanlar yeni paketler yükleyemese bile güvenlik güncelleştirmeleri dağıtılabilir.
  • Aynalar tehlikeye girebilir (bu geçmişte olmuştu). Tek bir dağıtım noktasını izlemek daha kolaydır. Bir saldırgan bir yere kötü amaçlı bir paket yüklemeyi başardıysa, security.debian.orgdaha yeni sürüm numarasına sahip bir paketi gönderebilir . İstismarın niteliğine ve yanıtın zamanında yapılmasına bağlı olarak, bu durum bazı makinelerin enfekte olmamaları veya en azından yöneticileri uyarmaları için yeterli olabilir.
  • Daha az insanın yükleme hakları var security.debian.org. Bu, bir saldırganın kötü niyetli bir paket enjekte etmek için bir hesabı veya makineyi değiştirmeye çalışması olasılığını sınırlar.
  • Sıradan web erişimine ihtiyaç duymayan sunucular yalnızca izin veren bir güvenlik duvarının arkasında tutulabilir security.debian.org.

2
Güvenlik deposu, veri havuzları için sürüm dosyalarını imzalamadan önce gelir, bu nedenle, security.debian.org adresinden indirilen örtük güveni sulandırdığı için aynalama önerilmez. Bu argüman, paket meta verilerinin imzalandığı bir dereceye kadar ortadan kalktı.
jmtd

ana bilgisayar security.debian.orgbir grup adrese çözümlenir, bu yüzden teknik olarak aynaları olmasa bile belki de bir makine havuzudur.
Faheem Mitha

8

Eminim Debian güvenlik güncellemelerini düzenli olarak da veriyor.

Yalnızca güvenlik güncelleştirmelerini içeren ayrı bir depoya sahip olmanızın nedeni, bir sunucu ayarlayabilmeniz, yalnızca güvenlik deposuna yönlendirebilmeniz ve güncelleştirmeleri otomatikleştirebilmenizdir. Artık, uyumsuz sürümlerin neden olduğu hataları yanlışlıkla eklemeden en son güvenlik yamalarına sahip olduğu garanti edilen bir sunucunuz var.

Bu mekanizmanın diğer dağıtımlar tarafından kullanılıp kullanılmadığından emin değilim. yumCentOS için bu tür şeyleri işlemek için bir eklenti var ve Gentoo şu anda bir güvenlik posta listesine sahip ( portageşu anda sadece güvenlik güncellemelerini destekleyecek şekilde değiştiriliyor). FreeBSD ve NetBSD, yerleşik güncelleme mekanizmalarıyla iyi entegre olan kurulu portların / paketlerin güvenlik denetimlerini gerçekleştirmenin yollarını sunar. Tümü, Debian'ın yaklaşımı (ve muhtemelen çok yakından ilişkili oldukları için muhtemelen Ubuntu'nun) bu sorunun en kısa çözümlerinden biridir.


evet çünkü bir güvenlik düzeltme eki hiçbir zaman başka bir hata getiremez.
xenoterracide

"s. Artık uyumsuz sürümlerin neden olduğu hataları yanlışlıkla eklemeden en son güvenlik yamalarına sahip olacağınız garantili bir sunucunuz var." bunun anlamı değil mi? Uyumsuz sürümlerin tartışmalı bir nokta olduğunu düşünebilirim ... bu tam olarak ne anlama geliyor ... çoğu zaman sadece güvenlik yamalarını destekleyen insanlar bunu yapmıyor çünkü ABI / API'nin tek şey olduğunu düşünüyorlar bakıyoruz.
xenoterracide

@xeno Bu depoları bölme fikrini mi eleştiriyorsunuz yoksa hiçbir garanti olmadığına dair bizi uyarıyor musunuz?
tshepang

1
@xeno Yukarı akış, şeyleri nasıl ele aldığına bağlı olarak, hata düzeltme yamaları 'kararlı' bir sürüm için çok müdahaleci olabilir.
tshepang

3
Güvenlik yamalarının büyük çoğunluğu önemsiz derecede küçüktür: argümanları bir memset'e yeniden sıralamak, bir strncmp veya sahip olduğunuz şey üzerinde bir sınır kontrolü düzeltmek. Tabii ki, diğer hataları makul bir şekilde tanıtabilirler, ancak risk çok küçük ve teorikken, keşfedilen güvenlik hatası çok pratiktir.
jmtd

2

İki şeye yardımcı olur:

  1. güvenlik - önce güvenlik düzeltmelerinizi yapın, daha sonra geri kalanını güncellerken daha düşük risk altındasınız
  2. güvenlik güncellemeleri, sisteminizin geri kalanını korumak için onlara güvenme eğiliminde olduğunuz için yüksek güvenlik düzeyinde saklanmalıdır, bu nedenle bu repo'nun güvenliğin aşılmasını önlemek için daha güçlü güvenlik denetimleri olabilir

başka nedenler de olabilir, ama bu yararlı bulacağım iki


Yüksek güvenlik düzeyinde depolandığından emin misiniz? Şunu söylüyorum çünkü şüphelendiğinizi ifade edebilirsiniz .
tshepang

İyi benekli Tshepang - Repo'nun var olduğu ortamın görünürlüğüne sahip değilim, ama bu şekilde ayarlayacağım şekilde :-)
Rory Alsop

5
En azından bir çeşit daha yüksek güvenlik seviyesi vardır: sadece güvenlik ekibi bir paketi yükleyebilir security.debian.org. Uygulama detaylarını bilmiyorum.
Gilles 'SO- kötü olmayı bırak'
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.