Tại sao họ không tải các gói lên kho lưu trữ gói bình thường? Đây có phải là một quy ước chung (IE, các phân phối khác cũng phân tách các kho lưu trữ không)?
Tại sao họ không tải các gói lên kho lưu trữ gói bình thường? Đây có phải là một quy ước chung (IE, các phân phối khác cũng phân tách các kho lưu trữ không)?
Câu trả lời:
Debian có một kênh phân phối chỉ cung cấp các cập nhật bảo mật để quản trị viên có thể chọn chạy hệ thống ổn định chỉ với các thay đổi tối thiểu tuyệt đối. Ngoài ra, kênh phân phối này được giữ tách biệt với kênh thông thường: tất cả các cập nhật bảo mật được cung cấp trực tiếp từ security.debian.org
đó, trong khi đó nên sử dụng gương cho mọi thứ khác. Điều này có một số lợi thế. (Tôi không nhớ đó là những động lực chính thức nào tôi đọc được trong danh sách gửi thư của Debian và đó là phân tích nhỏ của riêng tôi. Một số trong số này được đề cập trong Câu hỏi thường gặp về bảo mật Debian .)
security.debian.org
các điểm đến máy chủ hoạt động, các bản cập nhật bảo mật có thể được phân phối.security.debian.org
có thể đẩy gói có số phiên bản mới hơn. Tùy thuộc vào bản chất của việc khai thác và tính kịp thời của phản hồi, điều này có thể đủ để giữ cho một số máy không bị nhiễm hoặc ít nhất là cảnh báo cho các quản trị viên.security.debian.org
. Điều này giới hạn khả năng kẻ tấn công cố gắng lật đổ tài khoản hoặc máy để tiêm gói độc hại.security.debian.org
thông qua.security.debian.org
giải quyết một loạt các địa chỉ, vì vậy có thể đó là một nhóm máy móc, ngay cả khi về mặt kỹ thuật nó không có gương.
Tôi khá chắc chắn rằng Debian cũng cập nhật bảo mật trong repo thông thường.
Lý do để có một repo riêng chỉ chứa các bản cập nhật bảo mật là để bạn có thể thiết lập một máy chủ, chỉ trỏ nó vào repo bảo mật và tự động cập nhật. Bây giờ bạn đã có một máy chủ được đảm bảo có các bản vá bảo mật mới nhất mà không vô tình đưa ra các lỗi gây ra bởi các phiên bản không tương thích, v.v.
Tôi không chắc chắn nếu cơ chế chính xác này được sử dụng bởi các distro khác. Có một yum
plugin để xử lý loại điều này cho CentOS và Gentoo hiện có một danh sách gửi thư bảo mật ( portage
hiện đang được sửa đổi để hỗ trợ các bản cập nhật chỉ bảo mật). FreeBSD và NetBSD đều cung cấp các cách để kiểm tra bảo mật các cổng / gói đã cài đặt, tích hợp tốt với các cơ chế cập nhật tích hợp. Tất cả đã nói, cách tiếp cận của Debian (và có lẽ là của Ubuntu, vì chúng có liên quan mật thiết với nhau) là một trong những giải pháp hấp dẫn cho vấn đề này.
Nó giúp với hai điều:
cũng có thể có những lý do khác, nhưng đó là hai lý do tôi thấy hữu ích
security.debian.org
. Tôi không biết chi tiết thực hiện.