Mengapa mereka tidak mengunggah paket ke repositori paket normal? Apakah ini konvensi umum (IE, apakah distro lain juga memisahkan repositori)?
Mengapa mereka tidak mengunggah paket ke repositori paket normal? Apakah ini konvensi umum (IE, apakah distro lain juga memisahkan repositori)?
Jawaban:
Debian memiliki saluran distribusi yang hanya menyediakan pembaruan keamanan sehingga administrator dapat memilih untuk menjalankan sistem yang stabil dengan hanya perubahan minimum absolut. Selain itu, saluran distribusi ini dibuat agak terpisah dari saluran normal: semua pembaruan keamanan disuplai langsung dari security.debian.org
, sedangkan disarankan untuk menggunakan mirror untuk yang lainnya. Ini memiliki sejumlah keunggulan. (Saya tidak ingat yang mana dari motivasi resmi yang saya baca di milis Debian dan yang merupakan analisis mini saya sendiri. Beberapa di antaranya tersentuh dalam FAQ keamanan Debian .)
security.debian.org
menunjuk ke server yang berfungsi, pembaruan keamanan dapat didistribusikan.security.debian.org
dapat mendorong paket dengan nomor versi yang lebih baru. Bergantung pada sifat eksploit dan ketepatan waktu respons, ini mungkin cukup untuk menjaga beberapa mesin tidak terinfeksi atau setidaknya memperingatkan administrator.security.debian.org
. Ini membatasi kemungkinan penyerang mencoba menumbangkan akun atau mesin untuk menyuntikkan paket jahat.security.debian.org
.security.debian.org
tidak menyelesaikan banyak alamat, jadi mungkin itu adalah kumpulan mesin, bahkan jika secara teknis tidak memiliki mirror.
Saya cukup yakin Debian menempatkan pembaruan keamanan di repo biasa juga.
Alasan memiliki repo terpisah yang hanya berisi pembaruan keamanan adalah agar Anda dapat mengatur server, hanya mengarahkannya ke repo keamanan, dan mengotomatiskan pembaruan. Sekarang Anda memiliki server yang dijamin memiliki patch keamanan terbaru tanpa secara tidak sengaja memperkenalkan bug yang disebabkan oleh versi yang tidak kompatibel, dll.
Saya tidak yakin apakah mekanisme yang tepat ini digunakan oleh distro lain. Ada yum
plugin untuk menangani hal semacam ini untuk CentOS, dan Gentoo saat ini memiliki milis keamanan ( portage
saat ini sedang dimodifikasi untuk mendukung pembaruan khusus keamanan). FreeBSD dan NetBSD keduanya menyediakan cara untuk melakukan audit keamanan pada port / paket yang diinstal, yang terintegrasi dengan baik dengan mekanisme pembaruan bawaan. Semua mengatakan, pendekatan Debian (dan mungkin Ubuntu, karena mereka terkait erat) adalah salah satu solusi yang lebih licin untuk masalah ini.
Ini membantu dengan dua hal:
mungkin ada alasan lain, tetapi itulah dua yang menurut saya berguna
security.debian.org
. Saya tidak tahu detail implementasi.