Debianセキュリティアップデート用に個別のパッケージリポジトリがあるのはなぜですか?


18

パッケージを通常のパッケージリポジトリにアップロードしないのはなぜですか?これは一般的な慣習ですか(IE、他のディストリビューションもリポジトリを分けていますか)?


パッケージリポジトリを意味するアーカイブによって、他のディストリビューションは過度に長くなる可能性があるため、お勧めしませんか?私はあなたがそうしていると思いますが、あなたがsvn / gitブランチか何かを意味しないことを確認します。
xenoterracide

回答:


16

Debianにはセキュリティアップデートのみを提供する配布チャンネルがあり、管理者は絶対的な最小限の変更のみで安定したシステムを実行することができます。さらに、この配布チャネルは通常のチャネルとは多少分離されています。すべてのセキュリティ更新プログラムはから直接提供されますがsecurity.debian.org、他のすべてにはミラーを使用することをお勧めします。これには多くの利点があります。(これらのどれがDebianメーリングリストで読んだ公式の動機であり、どれが私自身のミニ分析であるかを覚えていません。これらのいくつかはDebianセキュリティFAQで触れられています。)

  • セキュリティ更新プログラムは、ミラー更新プログラム(約1日の伝播時間を追加できる)による遅延なしに、すぐに拡散されます。
  • ミラーは古くなる可能性があります。直接配布により、この問題を回避できます。
  • 重要なサービスとして維持するインフラストラクチャが少なくなります。Debianのサーバーのほとんどが利用できず、人々が新しいパッケージをインストールできない場合でもsecurity.debian.org、機能しているサーバーを指す限り、セキュリティ更新プログラムを配布できます。
  • ミラーが侵害される可能性があります(これは過去に起こりました)。単一の配布ポイントを監視する方が簡単です。攻撃者が悪意のあるパッケージをどこかにアップロードした場合、security.debian.orgより新しいバージョン番号のパッケージをプッシュできます。エクスプロイトの性質と応答の適時性によっては、これは一部のマシンを感染させないか、少なくとも管理者に警告するのに十分です。
  • のアップロード権限を持っている人は少ないsecurity.debian.orgです。これにより、悪意のあるパッケージを挿入するために、攻撃者がアカウントまたはマシンを破壊しようとする可能性が制限されます。
  • 通常のWebアクセスを必要としないサーバーは、security.debian.org通過のみを許可するファイアウォールの背後に保持できます。

2
セキュリティリポジトリは、リポジトリのリリースファイルに署名する前に作成されていたため、security.debian.orgからダウンロードする暗黙の信頼を薄めていたため、ミラー化することは推奨されませんでした。パッケージのメタデータが署名されたため、その議論はある程度消え去りました。
jmtd

ホストsecurity.debian.orgは多数のアドレスに解決されるため、技術的にミラーがない場合でも、マシンのプールである可能性があります。
ファヒームミタ14

8

Debianは通常のレポジトリにもセキュリティアップデートを配置していると確信しています。

セキュリティの更新のみを含む別のリポジトリを用意する理由は、サーバーをセットアップし、セキュリティリポジトリのみを指定して、更新を自動化できるようにするためです。これで、互換性のないバージョンなどに起因するバグを誤って導入することなく、最新のセキュリティパッチが保証されたサーバーを手に入れました。

この正確なメカニズムが他のディストリビューションで使用されているかどうかはわかりません。yumCentOSにはこの種のことを処理するプラグインがあり、Gentooには現在セキュリティメーリングリストがあります(portageセキュリティのみの更新をサポートするために現在修正中です)。FreeBSDとNetBSDはどちらも、インストールされたポート/パッケージのセキュリティ監査を行う方法を提供し、組み込みの更新メカニズムとうまく統合されます。Debianのアプローチ(そしておそらくUbuntuのアプローチは非常に密接に関連しているため)は、この問題に対する洗練されたソリューションの1つです。


はい、セキュリティパッチが別のバグを導入する可能性はないためです。
xenoterracide

「s。これで、互換性のないバージョンなどに起因するバグを誤って導入することなく、最新のセキュリティパッチが保証されたサーバーを手に入れました。」それはそれが意味するものではありませんか?互換性のないバージョンは議論の余地があると思うかもしれません...それは正確に何を意味するのですか...ほとんどの場合、セキュリティパッチのみをバックポートする人々は、ABI / APIが唯一のものであると感じているため、それを行っていません見ている。
xenoterracide

@xenoこれらのレポジトリを分割するという考えを批判していますか、それとも保証がないことを警告していますか?
シェパン

1
@xenoアップストリームが物事を処理する方法によっては、バグ修正パッチは「安定した」リリースにはあまりに邪魔になることがあります。
シェパン

3
セキュリティパッチの大部分は非常に小さなものです。memsetへの引数の順序を変更し、strncmpまたはwhat-have-youの境界チェックを修正します。もちろん、他のバグをもっともらしく導入する可能性はありますが、発見されたセキュリティバグは非常に実用的であるのに対し、リスクは非常に小さく、理論的です。
jmtd

2

次の2つの点で役立ちます。

  1. 安全性-最初にセキュリティ修正プログラムを入手してから、残りの更新中にリスクが低くなります
  2. システムの残りの部分を保護するためにセキュリティ更新プログラムに依存する傾向があるため、セキュリティ更新プログラムは高いセキュリティレベルで保存する必要があります。

他の理由もあるかもしれませんが、それらは私が役に立つと思う2つです


確かに高いセキュリティレベルで保存されていますか?私はあなたが疑いを表明するので、そうであるかもしれないと言う。
シェパン

よく発見されたTshepang-リポジトリが存在する環境の可視性はありませんが、それは私がセットアップする方法です:-)
ロリーオルソ

5
少なくとも何らかの形でより高いセキュリティレベルがありますsecurity.debian.org。パッケージをプッシュできるのはセキュリティチームだけです。実装の詳細がわかりません。
ジル「SO-悪であるのをやめる」
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.