Tại sao có một kho lưu trữ gói riêng cho các bản cập nhật bảo mật Debian?

18

Tại sao họ không tải các gói lên kho lưu trữ gói bình thường? Đây có phải là một quy ước chung (IE, các phân phối khác cũng phân tách các kho lưu trữ không)?

debian  repository 
tshepang
nguồn
Tôi muốn đề nghị không có các bản phân phối khác vì điều đó có thể quá dài, cũng bằng cách lưu trữ cho bạn nghĩa là repo gói? Tôi đoán bạn làm vậy, nhưng chắc chắn rằng bạn không có nghĩa là một chi nhánh svn / git hoặc một cái gì đó.
xenoterracide
Daniel Dinnyes

Câu trả lời:

16

Debian có một kênh phân phối chỉ cung cấp các cập nhật bảo mật để quản trị viên có thể chọn chạy hệ thống ổn định chỉ với các thay đổi tối thiểu tuyệt đối. Ngoài ra, kênh phân phối này được giữ tách biệt với kênh thông thường: tất cả các cập nhật bảo mật được cung cấp trực tiếp từ security.debian.orgđó, trong khi đó nên sử dụng gương cho mọi thứ khác. Điều này có một số lợi thế. (Tôi không nhớ đó là những động lực chính thức nào tôi đọc được trong danh sách gửi thư của Debian và đó là phân tích nhỏ của riêng tôi. Một số trong số này được đề cập trong Câu hỏi thường gặp về bảo mật Debian .)

  • Cập nhật bảo mật được lan truyền ngay lập tức, không có sự chậm trễ phát sinh bởi các cập nhật nhân bản (có thể thêm khoảng 1 ngày thời gian lan truyền).
  • Gương có thể bị cũ. Phân phối trực tiếp tránh vấn đề đó.
  • Có ít cơ sở hạ tầng để duy trì như một dịch vụ quan trọng. Ngay cả khi hầu hết các máy chủ của Debian không có sẵn và mọi người không thể cài đặt các gói mới, miễn làsecurity.debian.org các điểm đến máy chủ hoạt động, các bản cập nhật bảo mật có thể được phân phối.
  • Gương có thể bị xâm phạm (điều này đã xảy ra trong quá khứ). Dễ dàng hơn để xem một điểm phân phối duy nhất. Nếu kẻ tấn công quản lý để tải lên một gói độc hại ở đâu đó,security.debian.org có thể đẩy gói có số phiên bản mới hơn. Tùy thuộc vào bản chất của việc khai thác và tính kịp thời của phản hồi, điều này có thể đủ để giữ cho một số máy không bị nhiễm hoặc ít nhất là cảnh báo cho các quản trị viên.
  • Ít người có quyền tải lên trên security.debian.org . Điều này giới hạn khả năng kẻ tấn công cố gắng lật đổ tài khoản hoặc máy để tiêm gói độc hại.
  • Máy chủ không cần truy cập web thông thường có thể được giữ đằng sau tường lửa chỉ cho phép security.debian.orgthông qua.
Gilles 'SO- ngừng là ác'
nguồn
2
Repo bảo mật trước ngày ký các tệp phát hành cho các kho lưu trữ, vì vậy phản ánh nó không được khuyến khích, vì nó làm giảm sự tin tưởng ngầm của việc tải xuống từ security.debian.org. Đối số đó đã đi đến một mức độ nào đó khi siêu dữ liệu gói được ký.
jmtd
máy chủ lưu trữ security.debian.orggiải quyết một loạt các địa chỉ, vì vậy có thể đó là một nhóm máy móc, ngay cả khi về mặt kỹ thuật nó không có gương.
Faheem Mitha
8

Tôi khá chắc chắn rằng Debian cũng cập nhật bảo mật trong repo thông thường.

Lý do để có một repo riêng chỉ chứa các bản cập nhật bảo mật là để bạn có thể thiết lập một máy chủ, chỉ trỏ nó vào repo bảo mật và tự động cập nhật. Bây giờ bạn đã có một máy chủ được đảm bảo có các bản vá bảo mật mới nhất mà không vô tình đưa ra các lỗi gây ra bởi các phiên bản không tương thích, v.v.

Tôi không chắc chắn nếu cơ chế chính xác này được sử dụng bởi các distro khác. Có một yumplugin để xử lý loại điều này cho CentOS và Gentoo hiện có một danh sách gửi thư bảo mật ( portagehiện đang được sửa đổi để hỗ trợ các bản cập nhật chỉ bảo mật). FreeBSD và NetBSD đều cung cấp các cách để kiểm tra bảo mật các cổng / gói đã cài đặt, tích hợp tốt với các cơ chế cập nhật tích hợp. Tất cả đã nói, cách tiếp cận của Debian (và có lẽ là của Ubuntu, vì chúng có liên quan mật thiết với nhau) là một trong những giải pháp hấp dẫn cho vấn đề này.

Hank Gay
nguồn
có bởi vì một bản vá bảo mật không bao giờ có thể giới thiệu một lỗi khác.
xenoterracide
"s. Bây giờ bạn đã có một máy chủ được đảm bảo có các bản vá bảo mật mới nhất mà không vô tình đưa ra các lỗi gây ra bởi các phiên bản không tương thích, v.v." đó không phải là điều đó có nghĩa là gì? Tôi cho rằng tôi có thể cho rằng các phiên bản không phù hợp là điểm có thể tranh cãi ... điều đó có nghĩa chính xác là gì ... hầu hết những người chỉ cung cấp các bản vá bảo mật không làm điều đó bởi vì họ cảm thấy rằng ABI / API là điều duy nhất họ đang nhìn vào
xenoterracide
@xeno Bạn đang làm phiền ý tưởng chia tách các repos này, hay bạn đang cảnh báo chúng tôi rằng không có gì đảm bảo?
tshepang
1
@xeno Tùy thuộc vào cách xử lý ngược dòng mọi thứ, các bản vá lỗi có thể quá khó để phát hành 'ổn định'.
tshepang
3
Phần lớn các bản vá bảo mật rất nhỏ: sắp xếp lại các đối số vào một bộ nhớ, sửa lỗi kiểm tra giới hạn trên strncmp hoặc những gì bạn có. Tất nhiên, họ có thể giới thiệu một cách hợp lý các lỗi khác, nhưng rủi ro là rất nhỏ và mang tính lý thuyết, trong khi lỗi bảo mật được phát hiện là rất thực tế.
jmtd
2

Nó giúp với hai điều:

  1. an toàn - trước tiên hãy sửa lỗi bảo mật của bạn, sau đó bạn có nguy cơ thấp hơn trong khi cập nhật phần còn lại
  2. cập nhật bảo mật nên được lưu trữ ở mức bảo mật cao, vì bạn có xu hướng dựa vào chúng để bảo vệ phần còn lại của hệ thống của bạn, vì vậy có thể là repo này có các kiểm soát bảo mật mạnh hơn để ngăn chặn sự thỏa hiệp

cũng có thể có những lý do khác, nhưng đó là hai lý do tôi thấy hữu ích

Rory Alsop
nguồn
Bạn có chắc chắn về việc lưu trữ ở mức độ bảo mật cao ? Tôi nói rằng bởi vì bạn thể hiện sự nghi ngờ, có thể .
tshepang
Tshepang phát hiện rõ - Tôi không thấy được môi trường mà repo tồn tại, nhưng đó là cách mà tôi sẽ thiết lập nó :-)
Rory Alsop
5
Có ít nhất một số dạng mức độ bảo mật cao hơn: chỉ nhóm bảo mật mới có thể đẩy gói lên security.debian.org. Tôi không biết chi tiết thực hiện.
Gilles 'SO- ngừng trở nên xấu xa'
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.