it-swarm-ja.tech

Debianセキュリティアップデート用に別のパッケージリポジトリがあるのはなぜですか?

通常のパッケージリポジトリにパッケージをアップロードしないのはなぜですか?これは一般的な規則ですか?他のディストリビューションもリポジトリを分離していますか?

20
tshepang

Debianには、管理者が最小限の変更のみで安定したシステムを実行することを選択できるように、セキュリティアップデートのみを提供する配布チャネルがあります。さらに、この配布チャネルは通常のチャネルとは少し離れています。すべてのセキュリティ更新は security.debian.org から直接提供されますが、それ以外の場合はミラーを使用することをお勧めします。これには多くの利点があります。 (私がDebianメーリングリストで読んだ公式の動機と、自分自身のミニ分析であるものを覚えていません。これらのいくつかは DebianセキュリティFAQ で触れられています。)

  • セキュリティ更新プログラムは、ミラー更新プログラムによる遅延(約1日の伝播時間を追加する可能性があります)を伴うことなく、すぐに拡散されます。
  • ミラーが古くなる可能性があります。直接配布はその問題を回避します。
  • 重要なサービスとして維持するインフラストラクチャが少なくなっています。 Debianのほとんどのサーバーが利用できず、人々が新しいパッケージをインストールできない場合でも、security.debian.orgが動作しているサーバーを指している限り、セキュリティアップデートを配布できます。
  • ミラーが危険にさらされる可能性があります(これは過去に起こりました)。単一の配布ポイントを監視する方が簡単です。攻撃者が悪意のあるパッケージをどこかにアップロードした場合、security.debian.orgがより新しいバージョン番号のパッケージをプッシュする可能性があります。エクスプロイトの性質と応答の適時性によっては、一部のマシンを感染させないか、少なくとも管理者に警告するにはこれで十分な場合があります。
  • security.debian.orgのアップロード権を持っている人は少なくなっています。これにより、攻撃者が悪意のあるパッケージを挿入するためにアカウントまたはマシンを破壊しようとする可能性が制限されます。
  • 通常のWebアクセスを必要としないサーバーは、security.debian.orgの通過のみを許可するファイアウォールの背後に保持できます。

Debianがセキュリティ更新を通常のリポジトリにも配置していると確信しています。

onlyにセキュリティ更新が含まれている別のリポジトリがある理由は、サーバーをセットアップし、セキュリティリポジトリにポイントするだけで、更新を自動化できるようにするためです。これで、互換性のないバージョンなどに起因するバグを誤って導入することなく、最新のセキュリティパッチが適用されることが保証されたサーバーが手に入りました。

この正確なメカニズムが他のディストリビューションで使用されているかどうかはわかりません。 CentOSでこの種の処理を行うyumプラグインがあり、Gentooには現在セキュリティメーリングリストがあります(portageは現在、セキュリティのみの更新をサポートするように変更されています)。 FreeBSDとNetBSDはどちらも、インストールされたポート/パッケージのセキュリティ監査を行う方法を提供し、組み込みの更新メカニズムとうまく統合します。結局のところ、Debianのアプローチ(そして、Ubuntuのアプローチは非常に密接に関連しているため、おそらくUbuntuのアプローチ)は、この問題に対するより洗練されたソリューションの1つです。

9
Hank Gay

次の2つの点で役立ちます。

  1. 安全性-最初にセキュリティ修正を取得してから、残りを更新する際のリスクを軽減します
  2. システムの残りの部分を保護するためにセキュリティ更新に依存する傾向があるため、セキュリティ更新プログラムは高いセキュリティレベルで保存する必要があります。そのため、このリポジトリには、セキュリティを強化して侵害を防ぐことができます。

他の理由も考えられますが、それらは私が役立つと思う2つの理由です

2
Rory Alsop

DebianセキュリティチームのSalvatore Bonaccorsoによると(私宛のプライベートメールを介して)、「最小限の変更のみで安定したシステムを実行するために」セキュリティアーカイブのみを構成することは推奨されていません。たとえば、この場合、Linuxカーネルが新しい安定したバージョンにリベースされることはありません。

また、特定のアーキテクチャーではビルドできない場合があるため、すべてのセキュリティ修正が通常のアーカイブに含まれているわけではありません。この場合、修正は通常のアーカイブに含めることはできませんが、すべてのアーキテクチャでなくても、セキュリティアーカイブには含まれます。

Salvatore Bonaccorsoでは、通常のアーカイブとセキュリティアーカイブの両方のアーカイブを常に有効にすることを推奨しています。

1
kunfoo