Por que existe um repositório de pacotes separado para atualizações de segurança da Debian?

18

Por que eles não enviam pacotes para o repositório de pacotes normal? Essa é uma convenção geral (ou seja, outras distros também separam os repositórios)?

tshepang
fonte
Eu sugeriria não ter outras distros, pois isso poderia ser excessivamente longo, também por arquivamento para você dizer repositório de pacotes? Eu estou supondo que sim, mas certificando-me de que você não quer dizer um ramo svn / git ou algo assim.
Xenoterracide
debian.org/security
Daniel Dinnyes 25/03

Respostas:

16

O Debian possui um canal de distribuição que fornece atualizações de segurança apenas para que os administradores possam optar por executar um sistema estável com apenas o mínimo absoluto de alterações. Além disso, esse canal de distribuição é mantido um pouco separado do canal normal: todas as atualizações de segurança são alimentadas diretamente security.debian.org, enquanto é recomendável usar espelhos para todo o resto. Isso tem várias vantagens. (Não me lembro quais são as motivações oficiais que li nas listas de discussão Debian e quais são minhas próprias mini-análises. Algumas delas são mencionadas nas Perguntas frequentes sobre segurança da Debian .)

  • As atualizações de segurança são espalhadas imediatamente, sem o atraso das atualizações espelhadas (que podem adicionar cerca de 1 dia de tempo de propagação).
  • Os espelhos podem ficar obsoletos. A distribuição direta evita esse problema.
  • Há menos infraestrutura para manter como um serviço crítico. Mesmo que a maioria dos servidores Debian não esteja disponível e as pessoas não possam instalar novos pacotes, desde que security.debian.orgaponte para um servidor ativo, as atualizações de segurança podem ser distribuídas.
  • Os espelhos podem ser comprometidos (isso aconteceu no passado). É mais fácil assistir a um único ponto de distribuição. Se um invasor conseguir carregar um pacote malicioso em algum lugar, security.debian.orgpoderá enviar um pacote com um número de versão mais recente. Dependendo da natureza da exploração e da pontualidade da resposta, isso pode ser suficiente para manter algumas máquinas desinfetadas ou pelo menos avisar os administradores.
  • Menos pessoas têm direitos sobre upload security.debian.org. Isso limita as possibilidades de um invasor tentar subverter uma conta ou máquina para injetar um pacote malicioso.
  • Os servidores que não precisam de acesso comum à Web podem ser mantidos atrás de um firewall que apenas permite a security.debian.orgpassagem.
Gilles 'SO- parar de ser mau'
fonte
2
O repositório de segurança pré-data a assinatura dos arquivos de liberação para os repositórios, portanto, espelhá-lo foi desencorajado, pois diluiu a confiança implícita do download no security.debian.org. Esse argumento desapareceu até certo ponto agora que os metadados do pacote estão assinados.
jmtd
o host security.debian.orgresolve vários endereços, então talvez seja um conjunto de máquinas, mesmo que tecnicamente não tenha espelhos.
FaHememit Mitha #
8

Eu tenho certeza que o Debian também coloca atualizações de segurança no repositório regular.

O motivo de ter um repositório separado que contenha apenas atualizações de segurança é para que você possa configurar um servidor, apenas apontá-lo para o repositório de segurança e automatizar as atualizações. Agora você tem um servidor com garantia dos patches de segurança mais recentes sem a introdução acidental de erros causados ​​por versões incompatíveis, etc.

Não tenho certeza se esse mecanismo exato é usado por outras distros. Existe um yumplugin para lidar com esse tipo de coisa no CentOS, e o Gentoo atualmente possui uma lista de discussão de segurança ( portageatualmente está sendo modificada para suportar atualizações apenas de segurança). O FreeBSD e o NetBSD fornecem maneiras de realizar auditorias de segurança de portas / pacotes instalados, que se integram bem aos mecanismos de atualização embutidos. Ao todo, a abordagem do Debian (e provavelmente do Ubuntu, por estarem intimamente relacionados) é uma das soluções mais lisas para esse problema.

Hank Gay
fonte
Sim, porque um patch de segurança nunca poderia introduzir outro bug.
Xenoterracide
"s. Agora você tem um servidor com garantia dos mais recentes patches de segurança, sem a introdução acidental de bugs causados ​​por versões incompatíveis, etc." não é isso que isso significa? Suponho que eu poderia pensar que versões incompatíveis são o ponto discutível ... o que isso significa exatamente ... na maioria das vezes as pessoas que suportam apenas patches de segurança não estão fazendo isso porque acham que ABI / API é a única coisa que eles está olhando.
Xenoterracide
@xeno Você está criticando a ideia de dividir esses acordos ou está nos alertando que não há garantias?
tshepang
11
@xeno Dependendo de como o upstream lida com as coisas, as correções de bugs podem ser muito intrusivas para uma versão 'estável'.
tshepang
3
A grande maioria dos patches de segurança é trivialmente pequena: reordenando os argumentos em um memset, corrigindo uma verificação de limites em um strncmp ou o que você tem. Obviamente, eles poderiam introduzir outros erros de maneira plausível, mas o risco é muito pequeno e teórico, enquanto o erro de segurança descoberto é muito prático.
jmtd
2

Ajuda com duas coisas:

  1. segurança - primeiro obtenha suas correções de segurança e, em seguida, você corre menos riscos ao atualizar o restante
  2. as atualizações de segurança devem ser armazenadas com um alto nível de segurança, uma vez que você tende a confiar nelas para proteger o resto do seu sistema; portanto, esse repositório possui controles de segurança mais fortes para evitar comprometimentos

poderia haver outras razões, mas essas são as duas que eu consideraria úteis

Rory Alsop
fonte
Você tem certeza de que está armazenado em um nível de segurança alto ? Eu digo que porque você expressa dúvida, poderia ser .
precisa
Bem visto Tshepang - Não tenho visibilidade do ambiente que repo existe, mas que é que eles maneira que eu iria configurá-lo :-)
Rory Alsop
5
Há pelo menos alguma forma de nível de segurança mais alto: somente a equipe de segurança pode enviar um pacote security.debian.org. Não conheço os detalhes da implementação.
Gilles 'SO- stop be evil'