¿Por qué no suben paquetes al repositorio de paquetes normal? ¿Es esta una convención general (es decir, otras distribuciones también separan los repositorios)?
¿Por qué no suben paquetes al repositorio de paquetes normal? ¿Es esta una convención general (es decir, otras distribuciones también separan los repositorios)?
Respuestas:
Debian tiene un canal de distribución que proporciona actualizaciones de seguridad solo para que los administradores puedan elegir ejecutar un sistema estable con solo el mínimo absoluto de cambios. Además, este canal de distribución se mantiene algo separado del canal normal: todas las actualizaciones de seguridad se alimentan directamente security.debian.org
, mientras que se recomienda usar espejos para todo lo demás. Esto tiene una serie de ventajas. (No recuerdo cuáles de estas son motivaciones oficiales que leí en las listas de correo de Debian y cuáles son mi propio mini análisis. Algunas de ellas se mencionan en las Preguntas frecuentes de seguridad de Debian ).
security.debian.org
apunten a un servidor que funcione, se pueden distribuir actualizaciones de seguridad.security.debian.org
podría enviar un paquete con un número de versión más reciente. Dependiendo de la naturaleza del exploit y la puntualidad de la respuesta, esto podría ser suficiente para mantener algunas máquinas sin infectar o al menos advertir a los administradores.security.debian.org
. Esto limita las posibilidades de que un atacante intente subvertir una cuenta o máquina para inyectar un paquete malicioso.security.debian.org
.security.debian.org
resuelve en un grupo de direcciones, por lo que tal vez sea un grupo de máquinas, incluso si técnicamente no tiene espejos.
Estoy bastante seguro de que Debian también incluye actualizaciones de seguridad en el repositorio regular.
La razón para tener un repositorio separado que solo contenga actualizaciones de seguridad es para que pueda configurar un servidor, solo apuntarlo al repositorio de seguridad y automatizar las actualizaciones. Ahora tiene un servidor que garantiza tener los últimos parches de seguridad sin introducir errores causados accidentalmente por versiones incompatibles, etc.
No estoy seguro de si este mecanismo exacto es utilizado por otras distribuciones. Hay un yum
complemento para manejar este tipo de cosas para CentOS, y Gentoo actualmente tiene una lista de correo de seguridad ( portage
actualmente se está modificando para admitir actualizaciones solo de seguridad). FreeBSD y NetBSD proporcionan formas de realizar auditorías de seguridad de los puertos / paquetes instalados, que se integran bien con los mecanismos de actualización incorporados. En total, el enfoque de Debian (y probablemente el de Ubuntu, ya que están tan estrechamente relacionados) es una de las soluciones más ingeniosas para este problema.
Ayuda con dos cosas:
bien podría haber otras razones, pero esas son las dos que me serían útiles
security.debian.org
. No conozco los detalles de implementación.