Pourquoi ne téléchargent-ils pas les packages dans le référentiel de packages normal? Est-ce une convention générale (IE, d'autres distributions séparent-elles également les référentiels)?
Pourquoi ne téléchargent-ils pas les packages dans le référentiel de packages normal? Est-ce une convention générale (IE, d'autres distributions séparent-elles également les référentiels)?
Réponses:
Debian a un canal de distribution qui fournit uniquement des mises à jour de sécurité afin que les administrateurs puissent choisir d'exécuter un système stable avec seulement le minimum absolu de changements. De plus, ce canal de distribution est quelque peu séparé du canal normal: toutes les mises à jour de sécurité sont alimentées directement depuis security.debian.org
, alors qu'il est recommandé d'utiliser des miroirs pour tout le reste. Cela présente un certain nombre d'avantages. (Je ne me souviens pas quelles sont les motivations officielles que j'ai lues sur les listes de diffusion Debian et lesquelles sont ma propre mini-analyse. Certaines d'entre elles sont abordées dans la FAQ sur la sécurité Debian .)
security.debian.org
pointent vers un serveur qui fonctionne, les mises à jour de sécurité peuvent être distribuées.security.debian.org
pourrait pousser un package avec un numéro de version plus récent. Selon la nature de l'exploit et la rapidité de la réponse, cela pourrait être suffisant pour garder certaines machines non infectées ou au moins avertir les administrateurs.security.debian.org
. Cela limite les possibilités pour un attaquant de tenter de subvertir un compte ou une machine afin d'injecter un package malveillant.security.debian.org
passer que.security.debian.org
résout en un tas d'adresses, donc c'est peut-être un pool de machines, même s'il n'a techniquement pas de miroirs.
Je suis à peu près sûr que Debian place également les mises à jour de sécurité dans le dépôt standard.
La raison pour laquelle un référentiel distinct ne contient que des mises à jour de sécurité est que vous pouvez configurer un serveur, le diriger uniquement vers le référentiel de sécurité et automatiser les mises à jour. Vous avez maintenant un serveur qui est garanti d'avoir les derniers correctifs de sécurité sans introduire accidentellement des bogues causés par des versions incompatibles, etc.
Je ne sais pas si ce mécanisme exact est utilisé par d'autres distributions. Il existe un yum
plugin pour gérer ce genre de chose pour CentOS, et Gentoo a actuellement une liste de diffusion de sécurité ( portage
est actuellement en cours de modification pour prendre en charge les mises à jour de sécurité uniquement). FreeBSD et NetBSD fournissent tous deux des moyens de réaliser des audits de sécurité des ports / packages installés, qui s'intègrent bien avec les mécanismes de mise à jour intégrés. Tout compte fait, l'approche de Debian (et probablement celle d'Ubuntu, car ils sont si étroitement liés) est l'une des solutions les plus subtiles à ce problème.
Cela aide à deux choses:
il pourrait bien y avoir d'autres raisons, mais ce sont les deux que je trouverais utiles
security.debian.org
. Je ne connais pas les détails de mise en œuvre.