Mengapa ada repositori paket terpisah untuk pembaruan keamanan Debian?

18

Mengapa mereka tidak mengunggah paket ke repositori paket normal? Apakah ini konvensi umum (IE, apakah distro lain juga memisahkan repositori)?

debian repository tepang
sumber
Saya sarankan tidak memiliki distro lain karena mungkin terlalu panjang, juga dengan arsip yang Anda maksud paket repo? Saya kira Anda tahu, tapi pastikan Anda tidak bermaksud cabang svn / git atau sesuatu.
xenoterracide
debian.org/security
Daniel Dinnyes

Jawaban:

16

Debian memiliki saluran distribusi yang hanya menyediakan pembaruan keamanan sehingga administrator dapat memilih untuk menjalankan sistem yang stabil dengan hanya perubahan minimum absolut. Selain itu, saluran distribusi ini dibuat agak terpisah dari saluran normal: semua pembaruan keamanan disuplai langsung dari security.debian.org, sedangkan disarankan untuk menggunakan mirror untuk yang lainnya. Ini memiliki sejumlah keunggulan. (Saya tidak ingat yang mana dari motivasi resmi yang saya baca di milis Debian dan yang merupakan analisis mini saya sendiri. Beberapa di antaranya tersentuh dalam FAQ keamanan Debian .)

  • Pembaruan keamanan tersebar segera, tanpa penundaan yang ditimbulkan oleh pembaruan cermin (yang dapat menambah waktu propagasi sekitar 1 hari).
  • Cermin bisa menjadi basi. Distribusi langsung menghindari masalah itu.
  • Ada lebih sedikit infrastruktur untuk dipertahankan sebagai layanan kritis. Bahkan jika sebagian besar server Debian tidak tersedia dan orang tidak dapat menginstal paket baru, asalkan security.debian.orgmenunjuk ke server yang berfungsi, pembaruan keamanan dapat didistribusikan.
  • Cermin dapat dikompromikan (ini telah terjadi di masa lalu). Lebih mudah untuk menonton satu titik distribusi. Jika penyerang berhasil mengunggah paket jahat di suatu tempat, security.debian.orgdapat mendorong paket dengan nomor versi yang lebih baru. Bergantung pada sifat eksploit dan ketepatan waktu respons, ini mungkin cukup untuk menjaga beberapa mesin tidak terinfeksi atau setidaknya memperingatkan administrator.
  • Lebih sedikit orang yang memiliki hak unggah security.debian.org. Ini membatasi kemungkinan penyerang mencoba menumbangkan akun atau mesin untuk menyuntikkan paket jahat.
  • Server yang tidak memerlukan akses web biasa dapat disimpan di belakang firewall yang hanya memungkinkan security.debian.org.
Gilles 'SANGAT berhenti menjadi jahat'
sumber
2
Repo keamanan pre-tanggal menandatangani file rilis untuk repositori, jadi mirroring itu berkecil hati, karena mencairkan kepercayaan tersirat mengunduh dari security.debian.org. Argumen itu telah hilang sampai batas tertentu sekarang karena paket metadata ditandatangani.
jmtd
host security.debian.orgtidak menyelesaikan banyak alamat, jadi mungkin itu adalah kumpulan mesin, bahkan jika secara teknis tidak memiliki mirror.
Faheem Mitha
8

Saya cukup yakin Debian menempatkan pembaruan keamanan di repo biasa juga.

Alasan memiliki repo terpisah yang hanya berisi pembaruan keamanan adalah agar Anda dapat mengatur server, hanya mengarahkannya ke repo keamanan, dan mengotomatiskan pembaruan. Sekarang Anda memiliki server yang dijamin memiliki patch keamanan terbaru tanpa secara tidak sengaja memperkenalkan bug yang disebabkan oleh versi yang tidak kompatibel, dll.

Saya tidak yakin apakah mekanisme yang tepat ini digunakan oleh distro lain. Ada yumplugin untuk menangani hal semacam ini untuk CentOS, dan Gentoo saat ini memiliki milis keamanan ( portagesaat ini sedang dimodifikasi untuk mendukung pembaruan khusus keamanan). FreeBSD dan NetBSD keduanya menyediakan cara untuk melakukan audit keamanan pada port / paket yang diinstal, yang terintegrasi dengan baik dengan mekanisme pembaruan bawaan. Semua mengatakan, pendekatan Debian (dan mungkin Ubuntu, karena mereka terkait erat) adalah salah satu solusi yang lebih licin untuk masalah ini.

Hank Gay
sumber
ya karena patch keamanan tidak mungkin memperkenalkan bug lain.
xenoterracide
"Sekarang. Anda memiliki server yang dijamin memiliki tambalan keamanan terbaru tanpa secara tidak sengaja memperkenalkan bug yang disebabkan oleh versi yang tidak kompatibel, dll." bukankah itu artinya? Saya kira saya bisa duduk bahwa versi incompat adalah poin yang dapat diperdebatkan ... apa artinya itu sebenarnya ... sebagian besar waktu orang yang hanya mendukung patch keamanan tidak melakukan itu karena mereka merasa bahwa ABI / API adalah satu-satunya hal yang mereka sedang melihat.
xenoterracide
@xeno Apakah Anda mengkritik gagasan untuk membagi repo ini, atau apakah Anda memberi tahu kami bahwa tidak ada jaminan?
tshepang
1
@ xeno Bergantung pada bagaimana upstream menangani hal-hal, tambalan bugfix bisa terlalu mengganggu untuk rilis 'stabil'.
tshepang
3
Sebagian besar tambalan keamanan sepele kecil: memesan kembali argumen untuk memset, memperbaiki batas memeriksa pada strncmp atau apa pun yang Anda miliki. Tentu saja, mereka dapat secara masuk akal memperkenalkan bug lain, tetapi risikonya sangat kecil dan teoritis, sedangkan bug keamanan yang ditemukan sangat praktis.
jmtd
2

Ini membantu dengan dua hal:

  1. keselamatan - pertama mendapatkan perbaikan keamanan Anda, maka Anda berisiko lebih rendah saat memperbarui sisanya
  2. pembaruan keamanan harus disimpan pada tingkat keamanan tinggi, karena Anda cenderung mengandalkan mereka untuk melindungi seluruh sistem Anda, sehingga bisa jadi repo ini memiliki kontrol keamanan yang lebih kuat untuk mencegah kompromi

mungkin ada alasan lain, tetapi itulah dua yang menurut saya berguna

Rory Alsop
sumber
Anda yakin disimpan di tingkat keamanan tinggi ? Saya mengatakan itu karena Anda menyatakan keraguan, bisa jadi .
tshepang
Tshepang yang terlihat dengan baik - Saya tidak mendapatkan visibilitas dari lingkungan tempat repo berada, tapi begitulah cara saya mengaturnya :-)
Rory Alsop
5
Setidaknya ada beberapa bentuk tingkat keamanan yang lebih tinggi: hanya tim keamanan yang bisa mendorong paket security.debian.org. Saya tidak tahu detail implementasi.
Gilles 'SO- stop being evil'