ti-enxame.com

Por que existe um repositório de pacotes separado para atualizações de segurança do Debian?

Por que eles não carregam pacotes para o repositório de pacotes normal? Esta é uma convenção geral ... outras distros separam os repositórios também?

20
tshepang

O Debian tem um canal de distribuição que fornece atualizações de segurança apenas para que os administradores possam escolher rodar um sistema estável com apenas o mínimo absoluto de mudanças. Além disso, este canal de distribuição é mantido um tanto separado do canal normal: todas as atualizações de segurança são alimentadas diretamente de security.debian.org , embora seja recomendado o uso de espelhos para todo o resto. Isso tem várias vantagens. (Não me lembro quais são as motivações oficiais que li nas listas de discussão do Debian e quais são minhas próprias mini-análises. Algumas delas são mencionadas no FAQ de segurança do Debian .)

  • As atualizações de segurança são disseminadas imediatamente, sem o atraso incorrido pelas atualizações de espelho (que podem adicionar cerca de 1 dia de tempo de propagação).
  • Os espelhos podem ficar obsoletos. A distribuição direta evita esse problema.
  • Há menos infraestrutura para manter como um serviço crítico. Mesmo se a maioria dos servidores Debian não estiverem disponíveis e as pessoas não puderem instalar novos pacotes, desde que security.debian.org aponta para um servidor em funcionamento, as atualizações de segurança podem ser distribuídas.
  • Os espelhos podem ser comprometidos (isso já aconteceu no passado). É mais fácil observar um único ponto de distribuição. Se um invasor conseguiu carregar um pacote malicioso em algum lugar, security.debian.org pode enviar um pacote com um número de versão mais recente. Dependendo da natureza da exploração e da oportunidade da resposta, isso pode ser o suficiente para manter algumas máquinas não infectadas ou, pelo menos, alertar os administradores.
  • Menos pessoas têm direitos de upload em security.debian.org. Isso limita as possibilidades de um invasor tentar subverter uma conta ou máquina para injetar um pacote malicioso.
  • Os servidores que não precisam de acesso comum à web podem ser mantidos atrás de um firewall que permite apenas security.debian.org através.
18

Tenho certeza de que o Debian também coloca atualizações de segurança no repositório regular.

A razão para ter um repo separado que apenas contém atualizações de segurança é para que você possa configurar um servidor, apenas apontá-lo para o repo de segurança e automatizar as atualizações. Agora você tem um servidor que tem a garantia de ter os patches de segurança mais recentes sem introduzir acidentalmente bugs causados ​​por versões incompatíveis, etc.

Não tenho certeza se esse mecanismo exato é usado por outras distros. Existe um plugin yum para lidar com esse tipo de coisa para CentOS, e Gentoo atualmente tem uma lista de discussão de segurança (portage está sendo modificado para suportar atualizações somente de segurança). FreeBSD e NetBSD fornecem maneiras de fazer auditorias de segurança de portas/pacotes instalados, que se integram bem com os mecanismos de atualização embutidos. Ao todo, a abordagem do Debian (e provavelmente do Ubuntu, uma vez que eles estão intimamente relacionados) é uma das soluções mais engenhosas para esse problema.

9
Hank Gay

Isso ajuda em duas coisas:

  1. segurança - primeiro obtenha suas correções de segurança, então você corre menos risco enquanto atualiza o resto
  2. as atualizações de segurança devem ser armazenadas em um alto nível de segurança, já que você tende a confiar nelas para proteger o resto do seu sistema, então pode ser que este repo tenha controles de segurança mais fortes para evitar comprometimento

pode haver outros motivos, mas esses são os dois que considero úteis

2
Rory Alsop

De acordo com Salvatore Bonaccorso da equipe de segurança do Debian (via e-mail privado para mim), não é recomendado configurar apenas o arquivo de segurança, "para rodar um sistema estável com apenas o mínimo absoluto de mudanças." Por exemplo, neste caso, você não receberá rebases do kernel Linux para novas versões estáveis.

Além disso, nem todas as correções de segurança estão incluídas no arquivo regular, porque às vezes eles falham na construção para certas arquiteturas. Nesse caso, a correção não pode ser incluída no arquivo regular, mas ainda será incluída no arquivo de segurança, mesmo que não para todas as arquiteturas.

Salvatore Bonaccorso recomenda sempre habilitar os dois arquivos - o arquivo regular E o arquivo de segurança.

1
kunfoo