パッケージを通常のパッケージストアにアップロードしないのはなぜですか?これは一般的な慣行ですか?他のディストリビューションもリポジトリを分離しますか?
答え1
Debian には、管理者が信頼できるシステムを実行するために最小限の変更のみを行うことを選択できるように、セキュリティ更新プログラムのみを提供する展開チャネルがあります。また、この配信チャネルは通常のチャネルとは多少分離されています。すべてのセキュリティ更新プログラムは以下から直接送信されます。security.debian.org、他のすべての場合は、ミラーを使用することをお勧めします。ここには多くの利点があります。 (Debianメーリングリストで読んだことがどれが正式な動機だったのか、どれが私自身の小さな分析なのか覚えていません。Debian Security FAQ.)
- セキュリティ更新プログラムは、画像の更新のために遅延なく即座に伝播されます(伝播時間に約1日追加)。
- ミラーは古いかもしれません。直接割り当てを使用すると、この問題を回避できます。
- 重要なサービスで維持する必要があるインフラストラクチャが削減されます。ほとんどのDebianサーバーが利用できず、人々が新しいパッケージをインストールできない場合でも、機能している
security.debian.orgサーバーを指すだけでセキュリティ更新プログラムを展開できます。 - ミラーが損傷する可能性があります(過去にもこれが発生しました)。単一の配布ポイントを監視する方が簡単です。攻撃者がどこかに悪意のあるパッケージをアップロードすると、
security.debian.org更新されたバージョン番号のパッケージがプッシュされる可能性があります。悪用の性質と対応の適時性によっては、一部のコンピュータが感染するのを防ぐか、少なくとも管理者に警告するのに十分です。 - アップロード権限を持つ人が少ない
security.debian.org。これは、攻撃者が悪意のあるパッケージを挿入するためにアカウントやシステムを損傷する可能性を制限します。 - 一般的なWebアクセスを必要としないサーバーは、パススルー専用ファイアウォールの
security.debian.org後ろに残ることがあります。
答え2
私はDebianが通常のリポジトリにもセキュリティアップデートを追加すると確信しています。
別のRepoを持つ理由は次のとおりです。ただセキュリティ更新プログラムが含まれているため、サーバーがセキュリティストアのみを指すように設定し、自動的に更新されるようにすることができます。互換性のないバージョンなどが原因で誤ってバグが発生せず、最新のセキュリティパッチが保証されているサーバーがあります。
他のディストリビューションでもこの正確なメカニズムを使用しているかどうかはわかりません。 CentOSにはyumこの種のことを処理するプラグインがあり、Gentooには現在セキュリティメーリングリストがあります(portage現在のセキュリティアップデートのみをサポートするように変更しています)。 FreeBSDとNetBSDの両方は、組み込みの更新メカニズムとうまく統合されたインストール済みポート/パッケージのセキュリティ監査方法を提供します。全体的にDebianのアプローチ(そして密接に関連しているのでUbuntuのアプローチかもしれません)は、この問題に対するより優雅な解決策の1つです。
答え3
これは2つのことに役立ちます:
- セキュリティ - まずセキュリティ修正を取得し、リスクを最小限に抑えながら残りの修正を更新します。
- セキュリティ更新プログラムは、システムの残りの部分を保護するためにセキュリティ更新プログラムに依存する傾向があるため、高いセキュリティレベルで保存する必要があります。これにより、リポジトリは漏れを防ぐためのより強力なセキュリティ制御を持つことができます。
おそらく他の理由もありますが、これら2つが役に立つと思います。
答え4
DebianセキュリティチームのSalvatore Bonaccorsoによると、私の個人的な電子メールでセキュリティアーカイブを設定することはお勧めできません。たとえば、この場合、Linuxカーネルを新しい安定版にリベースすることはできません。
また、すべてのセキュリティ修正が通常のアーカイブに含まれるわけではありません。特定のアーキテクチャに対してビルドが失敗する場合もあるからです。この場合、修正は通常のアーカイブに含めることはできませんが、すべてのアーキテクチャで利用できなくても、セキュリティアーカイブには引き続き含まれます。
Salvatore Bonaccorsoは、常に一般と安全の2種類のアーカイブを有効にすることをお勧めします。