डेबियन सुरक्षा अपडेट के लिए एक अलग पैकेज रिपॉजिटरी क्यों है?

18

वे पैकेज को सामान्य पैकेज रिपॉजिटरी में क्यों नहीं अपलोड करते हैं? क्या यह एक सामान्य सम्मेलन (IE, अन्य विकृतियों को रिपॉजिटरी भी अलग करता है)?

debian  repository 
tshepang
स्रोत
मेरा सुझाव है कि अन्य डिस्ट्रो नहीं होने चाहिए, जो संभवतः अत्यधिक लंबे समय तक हो सकता है, यह भी संग्रह द्वारा आप पैकेज रेपो मतलब है? मैं आपको अनुमान लगा रहा हूं, लेकिन यह सुनिश्चित करना कि आपका svn / git शाखा या कुछ और मतलब नहीं है।
xenoterracide 11
डैनियल

जवाबों:

16

डेबियन का एक वितरण चैनल है जो केवल सुरक्षा अपडेट प्रदान करता है ताकि व्यवस्थापक केवल पूर्ण न्यूनतम परिवर्तनों के साथ एक स्थिर प्रणाली चलाने का विकल्प चुन सकें। इसके अतिरिक्त, इस वितरण चैनल को सामान्य चैनल से कुछ अलग रखा गया है: सभी सुरक्षा अपडेट सीधे से खिलाए जाते हैं security.debian.org, जबकि बाकी सभी चीजों के लिए दर्पण का उपयोग करने की सिफारिश की जाती है। इसके कई फायदे हैं। (मुझे याद नहीं है कि इनमें से कौन सी आधिकारिक प्रेरणाएँ हैं जो मैंने डेबियन मेलिंग सूचियों पर पढ़ी हैं और जो मेरे अपने लघु-विश्लेषण हैं। इनमें से कुछ को डेबियन सुरक्षा FAQ में स्पर्श किया गया है ।)

  • मिरर अपडेट (जो प्रचार के समय के लगभग 1 दिन जोड़ सकते हैं) में देरी के बिना, सुरक्षा अद्यतन तुरंत फैल जाते हैं।
  • दर्पण बासी जा सकते हैं। प्रत्यक्ष वितरण उस समस्या से बचता है।
  • एक महत्वपूर्ण सेवा के रूप में बनाए रखने के लिए कम बुनियादी ढांचा है। यहां तक ​​कि अगर डेबियन के अधिकांश सर्वर अनुपलब्ध हैं और लोग नए पैकेज स्थापित नहीं कर सकते हैं, जब तक कि security.debian.orgएक कार्यशील सर्वर को इंगित नहीं किया जाता है, तो सुरक्षा अपडेट वितरित किए जा सकते हैं।
  • दर्पण से समझौता किया जा सकता है (यह अतीत में हुआ है)। एकल वितरण बिंदु देखना आसान है। यदि एक हमलावर कहीं दुर्भावनापूर्ण पैकेज अपलोड करने में कामयाब रहा, तो security.debian.orgअधिक हाल के संस्करण संख्या के साथ एक पैकेज को धक्का दे सकता है। शोषण की प्रकृति और प्रतिक्रिया की समयबद्धता के आधार पर, यह कुछ मशीनों को असंक्रमित या कम से कम चेतावनी प्रशासकों को रखने के लिए पर्याप्त हो सकता है।
  • कम लोगों पर अधिकार अपलोड हैं security.debian.org। यह किसी दुर्भावनापूर्ण पैकेज को इंजेक्ट करने के लिए किसी खाते या मशीन को हटाने की कोशिश करने वाले हमलावर की संभावनाओं को सीमित करता है।
  • सामान्य वेब एक्सेस की आवश्यकता वाले सर्वर को एक फ़ायरवॉल के पीछे नहीं रखा जा सकता है जो केवल security.debian.orgमाध्यम से अनुमति देता है।
गिल्स 'SO- बुराई होना बंद करो'
स्रोत
2
सुरक्षा प्रतिनिधि पूर्व-तारीखों को रिपॉजिटरी के लिए रिलीज़ फ़ाइलों पर हस्ताक्षर करते हैं, इसलिए इसे प्रतिबिंबित करना हतोत्साहित किया गया था, क्योंकि यह सुरक्षा से डाउनलोड करने के अंतर्निहित विश्वास को कमजोर करता था। यह तर्क कुछ हद तक दूर हो गया है कि पैकेज मेटाडेटा पर हस्ताक्षर किए गए हैं।
jmtd
मेजबान security.debian.orgपते के एक समूह का समाधान करता है, इसलिए शायद यह मशीनों का एक पूल है, भले ही इसमें तकनीकी रूप से दर्पण न हों।
फहीम मीठा
8

मुझे पूरा यकीन है कि डेबियन नियमित रेपो में भी सुरक्षा अद्यतन डालता है।

एक अलग रेपो होने का कारण जिसमें केवल सुरक्षा अपडेट हैं, इसलिए आप एक सर्वर सेट कर सकते हैं, केवल इसे सुरक्षा रेपो और स्वचालित अपडेट को इंगित कर सकते हैं। अब आपको एक ऐसा सर्वर मिल गया है जिसकी असंगत रूप से असंगत संस्करणों आदि के कारण बग की पहचान किए बिना नवीनतम सुरक्षा पैच होने की गारंटी है।

मुझे यकीन नहीं है कि यह सटीक तंत्र अन्य डिस्ट्रोस द्वारा उपयोग किया जाता है। yumCentOS के लिए इस तरह की चीज़ को संभालने के लिए एक प्लगइन है, और Gentoo में वर्तमान में एक सुरक्षा मेलिंग सूची है ( portageवर्तमान में सुरक्षा-केवल अपडेट का समर्थन करने के लिए इसे संशोधित किया जा रहा है)। FreeBSD और NetBSD दोनों स्थापित पोर्ट / पैकेज के सुरक्षा ऑडिट करने के तरीके प्रदान करते हैं, जो अंतर्निहित अपडेट तंत्र के साथ अच्छी तरह से एकीकृत होते हैं। सभी ने बताया, डेबियन का दृष्टिकोण (और शायद उबंटू का, क्योंकि वे इतने निकट से संबंधित हैं) इस समस्या का एक हल है।

हांक गे
स्रोत
हाँ, क्योंकि एक सुरक्षा पैच संभवतः एक और बग का परिचय नहीं दे सकता है।
xenoterracide
"अब आपको एक ऐसा सर्वर मिल गया है जिसकी गारंटी है कि नवीनतम सुरक्षा पैच बिना गलती से असंगत, आदि के कारण बग का परिचय दें।" क्या इसका मतलब यह नहीं है? मुझे लगता है कि मैं बैठ सकता है कि असंगत संस्करण तर्कपूर्ण बिंदु है ... इसका सही अर्थ क्या है ... ज्यादातर समय जो लोग केवल सुरक्षा पैच का बैकपोर्ट करते हैं, वे ऐसा नहीं कर रहे हैं क्योंकि उन्हें लगता है कि एबीआई / एपीआई एकमात्र ऐसी चीज है जो वे 'देख रहे हैं।
xenoterracide
@xeno क्या आप इन रेपो को विभाजित करने के विचार को गंभीर बना रहे हैं, या क्या आप हमें सचेत कर रहे हैं कि कोई गारंटी नहीं है?
tshepang
1
@xeno कैसे अपस्ट्रीम चीजों को संभालता है, इस पर निर्भर करते हुए कि 'स्थिर' रिलीज़ के लिए बगफिक्स पैच बहुत अधिक घुसपैठ हो सकता है।
tshepang
3
सुरक्षा पैच के विशाल बहुमत तुच्छ रूप से छोटे हैं: तर्कों को एक मेमसेट पर फिर से आदेशित करना, एक strncmp पर सीमा की जांच को ठीक करना या आपके पास क्या-क्या है। निश्चित रूप से, वे अन्य कीड़े का परिचय कर सकते हैं, लेकिन जोखिम बहुत छोटा और सैद्धांतिक है, जबकि खोजा गया सुरक्षा बग बहुत अधिक व्यावहारिक है।
jmtd
2

यह दो चीजों के साथ मदद करता है:

  1. सुरक्षा - पहले अपनी सुरक्षा को ठीक करें, फिर बाकी को अपडेट करते समय आप कम जोखिम में हैं
  2. सुरक्षा अपडेट को उच्च सुरक्षा स्तर पर संग्रहीत किया जाना चाहिए, जैसा कि आप अपने बाकी सिस्टम की सुरक्षा के लिए उन पर भरोसा करते हैं, इसलिए यह हो सकता है कि इस रेपो में समझौता को रोकने के लिए मजबूत सुरक्षा नियंत्रण हो

वहाँ अन्य कारणों से अच्छी तरह से हो सकता है, लेकिन उन दोनों मैं उपयोगी होगा मिल रहे हैं

रोरी अलसॉप
स्रोत
आप एक उच्च सुरक्षा स्तर पर संग्रहीत के बारे में निश्चित हैं ? मैं कहता हूं कि क्योंकि आप संदेह व्यक्त करते हैं, हो सकता है
tshepang
अच्छी तरह से स्पॉटेड त्सेपांग - मुझे उस वातावरण की दृश्यता नहीं मिली जो रेपो में मौजूद है, लेकिन वे इस तरह से हैं कि मैं इसे स्थापित करूंगा :-)
रोरी अलसोप
5
उच्च सुरक्षा स्तर का कम से कम कुछ रूप है: केवल सुरक्षा टीम ही किसी पैकेज को आगे बढ़ा सकती है security.debian.org। मैं कार्यान्वयन विवरण नहीं जानता।
गाइल्स का SO- बंद होना बुराई का '
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.