Por que eles não enviam pacotes para o repositório de pacotes normal? Essa é uma convenção geral (ou seja, outras distros também separam os repositórios)?
Por que eles não enviam pacotes para o repositório de pacotes normal? Essa é uma convenção geral (ou seja, outras distros também separam os repositórios)?
Respostas:
O Debian possui um canal de distribuição que fornece atualizações de segurança apenas para que os administradores possam optar por executar um sistema estável com apenas o mínimo absoluto de alterações. Além disso, esse canal de distribuição é mantido um pouco separado do canal normal: todas as atualizações de segurança são alimentadas diretamente security.debian.org
, enquanto é recomendável usar espelhos para todo o resto. Isso tem várias vantagens. (Não me lembro quais são as motivações oficiais que li nas listas de discussão Debian e quais são minhas próprias mini-análises. Algumas delas são mencionadas nas Perguntas frequentes sobre segurança da Debian .)
security.debian.org
aponte para um servidor ativo, as atualizações de segurança podem ser distribuídas.security.debian.org
poderá enviar um pacote com um número de versão mais recente. Dependendo da natureza da exploração e da pontualidade da resposta, isso pode ser suficiente para manter algumas máquinas desinfetadas ou pelo menos avisar os administradores.security.debian.org
. Isso limita as possibilidades de um invasor tentar subverter uma conta ou máquina para injetar um pacote malicioso.security.debian.org
passagem.security.debian.org
resolve vários endereços, então talvez seja um conjunto de máquinas, mesmo que tecnicamente não tenha espelhos.
Eu tenho certeza que o Debian também coloca atualizações de segurança no repositório regular.
O motivo de ter um repositório separado que contenha apenas atualizações de segurança é para que você possa configurar um servidor, apenas apontá-lo para o repositório de segurança e automatizar as atualizações. Agora você tem um servidor com garantia dos patches de segurança mais recentes sem a introdução acidental de erros causados por versões incompatíveis, etc.
Não tenho certeza se esse mecanismo exato é usado por outras distros. Existe um yum
plugin para lidar com esse tipo de coisa no CentOS, e o Gentoo atualmente possui uma lista de discussão de segurança ( portage
atualmente está sendo modificada para suportar atualizações apenas de segurança). O FreeBSD e o NetBSD fornecem maneiras de realizar auditorias de segurança de portas / pacotes instalados, que se integram bem aos mecanismos de atualização embutidos. Ao todo, a abordagem do Debian (e provavelmente do Ubuntu, por estarem intimamente relacionados) é uma das soluções mais lisas para esse problema.
Ajuda com duas coisas:
poderia haver outras razões, mas essas são as duas que eu consideraria úteis
security.debian.org
. Não conheço os detalhes da implementação.