Dlaczego istnieje osobne repozytorium pakietów aktualizacji zabezpieczeń Debiana?

18

Dlaczego nie przesyłają pakietów do normalnego repozytorium pakietów? Czy to ogólna konwencja (IE, czy inne dystrybucje również oddzielają repozytoria)?

tshepang
źródło
Sugerowałbym, aby nie mieć innych dystrybucji, ponieważ może to być zbyt długie, również przez archiwizację, jeśli masz na myśli repo pakietu? Zgaduję, że tak, ale upewniając się, że nie masz na myśli gałęzi svn / git lub czegoś takiego.
ksenoterracid
debian.org/security
Daniel Dinnyes

Odpowiedzi:

16

Debian ma kanał dystrybucji, który zapewnia tylko aktualizacje zabezpieczeń, dzięki czemu administratorzy mogą zdecydować się na uruchomienie stabilnego systemu z absolutnym minimum zmian. Ponadto ten kanał dystrybucji jest nieco oddzielony od normalnego kanału: wszystkie aktualizacje zabezpieczeń są dostarczane bezpośrednio z security.debian.org, podczas gdy zaleca się stosowanie kopii lustrzanych do wszystkiego innego. Ma to wiele zalet. (Nie pamiętam, które z tych oficjalnych motywów przeczytałem na listach dyskusyjnych Debiana, a które są moją własną mini-analizą. Niektóre z nich zostały omówione w FAQ bezpieczeństwa Debiana .)

  • Aktualizacje zabezpieczeń są rozpowszechniane natychmiast, bez opóźnień spowodowanych aktualizacjami lustrzanymi (które mogą wydłużyć około 1 dnia czasu propagacji).
  • Lustra mogą się zestarzeć. Bezpośrednia dystrybucja pozwala uniknąć tego problemu.
  • Jest mniej infrastruktury do utrzymania jako usługa krytyczna. Nawet jeśli większość serwerów Debiana jest niedostępna i ludzie nie mogą instalować nowych pakietów, tak długo, jak security.debian.orgwskazuje na działający serwer, aktualizacje bezpieczeństwa mogą być dystrybuowane.
  • Lustra mogą być zagrożone (zdarzało się to w przeszłości). Łatwiej jest oglądać pojedynczy punkt dystrybucji. Gdyby atakującemu udało się gdzieś załadować złośliwy pakiet, security.debian.orgmógłby wypchnąć pakiet o nowszym numerze wersji. W zależności od charakteru exploita i terminowości odpowiedzi może to wystarczyć, aby niektóre maszyny nie zostały zainfekowane lub przynajmniej ostrzec administratorów.
  • Mniej osób ma prawa do przesyłania security.debian.org. Ogranicza to możliwości atakującego próbującego obalić konto lub komputer w celu wstrzyknięcia złośliwego pakietu.
  • Serwery, które nie potrzebują zwykłego dostępu do sieci, mogą znajdować się za zaporą ogniową, która security.debian.orgprzepuszcza tylko .
Gilles „SO- przestań być zły”
źródło
2
Repozytorium zabezpieczeń wcześniej podpisywało pliki wydania dla repozytoriów, więc jego tworzenie kopii lustrzanej było odradzane, ponieważ osłabiło ukryte zaufanie do pobierania z security.debian.org. Argument ten zniknął do pewnego stopnia, gdy metadane pakietu są podpisane.
jmtd
host security.debian.orgrozwiązuje wiele adresów, więc może jest to pula maszyn, nawet jeśli technicznie nie ma kopii lustrzanych.
Faheem Mitha
8

Jestem prawie pewien, że Debian umieszcza również aktualizacje bezpieczeństwa w regularnym repozytorium.

Powodem posiadania osobnego repozytorium, które zawiera tylko aktualizacje zabezpieczeń, jest to, że możesz skonfigurować serwer, tylko skierować go na repozytorium zabezpieczeń i zautomatyzować aktualizacje. Teraz masz serwer, który gwarantuje najnowsze poprawki bezpieczeństwa bez przypadkowego wprowadzania błędów spowodowanych przez niekompatybilne wersje itp.

Nie jestem pewien, czy ten dokładny mechanizm jest używany przez inne dystrybucje. Istnieje yumwtyczka do obsługi tego rodzaju rzeczy dla CentOS, a Gentoo ma obecnie bezpieczną listę mailingową ( portagejest obecnie modyfikowana w celu obsługi aktualizacji tylko dla bezpieczeństwa). Zarówno FreeBSD, jak i NetBSD zapewniają sposoby przeprowadzania audytów bezpieczeństwa zainstalowanych portów / pakietów, które dobrze integrują się z wbudowanymi mechanizmami aktualizacji. Mówiąc ogólnie, podejście Debiana (i prawdopodobnie Ubuntu, ponieważ są one tak blisko powiązane) jest jednym z lepszych rozwiązań tego problemu.

Hank Gay
źródło
tak, ponieważ łatka bezpieczeństwa nigdy nie może wprowadzić kolejnego błędu.
ksenoterracid
„s. Teraz masz serwer, który gwarantuje najnowsze poprawki bezpieczeństwa bez przypadkowego wprowadzenia błędów spowodowanych przez niekompatybilne wersje itp.” czy to nie to znaczy? Podejrzewam, że mogłem stwierdzić, że niekompatybilne wersje są spornym argumentem ... co to znaczy dokładnie ... przez większość czasu ludzie, którzy backportują tylko poprawki bezpieczeństwa, nie robią tego, ponieważ uważają, że ABI / API jest jedyną rzeczą, którą oni patrzę na.
Xenoterracide
@xeno Czy krytykujesz pomysł podzielenia tych repozytoriów, czy ostrzegasz nas, że nie ma żadnych gwarancji?
tshepang
1
@xeno W zależności od tego, jak upstream radzi sobie z różnymi rzeczami, łatki mogą być zbyt inwazyjne, aby uzyskać „stabilne” wydanie.
tshepang
3
Ogromna większość łatek bezpieczeństwa jest trywialnie mała: ponowne uporządkowanie argumentów w zestawie, naprawienie kontroli granic na strncmp lub what-you-you. Oczywiście mogliby wprowadzić inne błędy, ale ryzyko jest bardzo małe i teoretyczne, podczas gdy wykryty błąd bezpieczeństwa jest bardzo praktyczny.
jmtd
2

Pomaga w dwóch rzeczach:

  1. bezpieczeństwo - najpierw uzyskaj poprawki bezpieczeństwa, a następnie będziesz narażony na mniejsze ryzyko podczas aktualizacji pozostałych
  2. aktualizacje bezpieczeństwa powinny być przechowywane na wysokim poziomie bezpieczeństwa, ponieważ zwykle polegasz na nich, aby chronić resztę systemu, więc może to być tak, że ta repozytorium ma silniejszą kontrolę bezpieczeństwa, aby zapobiec kompromisowi

mogą istnieć inne powody, ale są to dwa, które uważam za przydatne

Rory Alsop
źródło
Czy na pewno jesteś przechowywany na wysokim poziomie bezpieczeństwa ? Mówię to, ponieważ wyrażasz wątpliwości, może być .
tshepang,
Dobrze zauważony Tshepang - Nie mam widoczności środowiska, w którym istnieje repozytorium, ale właśnie w ten sposób bym to skonfigurował :-)
Rory Alsop
5
Istnieje przynajmniej jakaś forma wyższego poziomu bezpieczeństwa: tylko zespół bezpieczeństwa może pchnąć pakiet security.debian.org. Nie znam szczegółów implementacji.
Gilles „SO- przestań być zły”