Neden paketleri normal paket deposuna yüklemiyorlar? Bu genel bir kural mı (IE, diğer dağıtımlar depoları da ayırıyor mu)?
Neden paketleri normal paket deposuna yüklemiyorlar? Bu genel bir kural mı (IE, diğer dağıtımlar depoları da ayırıyor mu)?
Yanıtlar:
Debian, yalnızca güvenlik güncelleştirmelerini sağlayan bir dağıtım kanalına sahiptir, böylece yöneticiler yalnızca mutlak minimum değişikliklerle kararlı bir sistem çalıştırmayı seçebilir. Ayrıca, bu dağıtım kanalı normal kanaldan biraz ayrı tutulur: tüm güvenlik güncellemeleri doğrudan beslenirken security.debian.org
, diğer her şey için ayna kullanılması önerilir. Bunun bir takım avantajları vardır. (Bunlardan hangilerinin Debian posta listelerinde okuduğum ve kendi mini analizlerim olan resmi motivasyonlar olduğunu hatırlamıyorum. Bunlardan bazılarına Debian güvenlik SSS bölümünde değinildi .)
security.debian.org
çalışan bir sunucuya işaret ettiği sürece insanlar yeni paketler yükleyemese bile güvenlik güncelleştirmeleri dağıtılabilir.security.debian.org
daha yeni sürüm numarasına sahip bir paketi gönderebilir . İstismarın niteliğine ve yanıtın zamanında yapılmasına bağlı olarak, bu durum bazı makinelerin enfekte olmamaları veya en azından yöneticileri uyarmaları için yeterli olabilir.security.debian.org
. Bu, bir saldırganın kötü niyetli bir paket enjekte etmek için bir hesabı veya makineyi değiştirmeye çalışması olasılığını sınırlar.security.debian.org
.security.debian.org
bir grup adrese çözümlenir, bu yüzden teknik olarak aynaları olmasa bile belki de bir makine havuzudur.
Eminim Debian güvenlik güncellemelerini düzenli olarak da veriyor.
Yalnızca güvenlik güncelleştirmelerini içeren ayrı bir depoya sahip olmanızın nedeni, bir sunucu ayarlayabilmeniz, yalnızca güvenlik deposuna yönlendirebilmeniz ve güncelleştirmeleri otomatikleştirebilmenizdir. Artık, uyumsuz sürümlerin neden olduğu hataları yanlışlıkla eklemeden en son güvenlik yamalarına sahip olduğu garanti edilen bir sunucunuz var.
Bu mekanizmanın diğer dağıtımlar tarafından kullanılıp kullanılmadığından emin değilim. yum
CentOS için bu tür şeyleri işlemek için bir eklenti var ve Gentoo şu anda bir güvenlik posta listesine sahip ( portage
şu anda sadece güvenlik güncellemelerini destekleyecek şekilde değiştiriliyor). FreeBSD ve NetBSD, yerleşik güncelleme mekanizmalarıyla iyi entegre olan kurulu portların / paketlerin güvenlik denetimlerini gerçekleştirmenin yollarını sunar. Tümü, Debian'ın yaklaşımı (ve muhtemelen çok yakından ilişkili oldukları için muhtemelen Ubuntu'nun) bu sorunun en kısa çözümlerinden biridir.
İki şeye yardımcı olur:
başka nedenler de olabilir, ama bu yararlı bulacağım iki
security.debian.org
. Uygulama detaylarını bilmiyorum.