パッケージを通常のパッケージリポジトリにアップロードしないのはなぜですか?これは一般的な慣習ですか(IE、他のディストリビューションもリポジトリを分けていますか)?
パッケージを通常のパッケージリポジトリにアップロードしないのはなぜですか?これは一般的な慣習ですか(IE、他のディストリビューションもリポジトリを分けていますか)?
回答:
Debianにはセキュリティアップデートのみを提供する配布チャンネルがあり、管理者は絶対的な最小限の変更のみで安定したシステムを実行することができます。さらに、この配布チャネルは通常のチャネルとは多少分離されています。すべてのセキュリティ更新プログラムはから直接提供されますがsecurity.debian.org
、他のすべてにはミラーを使用することをお勧めします。これには多くの利点があります。(これらのどれがDebianメーリングリストで読んだ公式の動機であり、どれが私自身のミニ分析であるかを覚えていません。これらのいくつかはDebianセキュリティFAQで触れられています。)
security.debian.org
、機能しているサーバーを指す限り、セキュリティ更新プログラムを配布できます。security.debian.org
より新しいバージョン番号のパッケージをプッシュできます。エクスプロイトの性質と応答の適時性によっては、これは一部のマシンを感染させないか、少なくとも管理者に警告するのに十分です。security.debian.org
です。これにより、悪意のあるパッケージを挿入するために、攻撃者がアカウントまたはマシンを破壊しようとする可能性が制限されます。security.debian.org
通過のみを許可するファイアウォールの背後に保持できます。security.debian.org
は多数のアドレスに解決されるため、技術的にミラーがない場合でも、マシンのプールである可能性があります。
Debianは通常のレポジトリにもセキュリティアップデートを配置していると確信しています。
セキュリティの更新のみを含む別のリポジトリを用意する理由は、サーバーをセットアップし、セキュリティリポジトリのみを指定して、更新を自動化できるようにするためです。これで、互換性のないバージョンなどに起因するバグを誤って導入することなく、最新のセキュリティパッチが保証されたサーバーを手に入れました。
この正確なメカニズムが他のディストリビューションで使用されているかどうかはわかりません。yum
CentOSにはこの種のことを処理するプラグインがあり、Gentooには現在セキュリティメーリングリストがあります(portage
セキュリティのみの更新をサポートするために現在修正中です)。FreeBSDとNetBSDはどちらも、インストールされたポート/パッケージのセキュリティ監査を行う方法を提供し、組み込みの更新メカニズムとうまく統合されます。Debianのアプローチ(そしておそらくUbuntuのアプローチは非常に密接に関連しているため)は、この問題に対する洗練されたソリューションの1つです。
次の2つの点で役立ちます。
他の理由もあるかもしれませんが、それらは私が役に立つと思う2つです
security.debian.org
。パッケージをプッシュできるのはセキュリティチームだけです。実装の詳細がわかりません。