Pourquoi existe-t-il un référentiel de paquets séparé pour les mises à jour de sécurité Debian?

18

Pourquoi ne téléchargent-ils pas les packages dans le référentiel de packages normal? Est-ce une convention générale (IE, d'autres distributions séparent-elles également les référentiels)?

debian repository tshepang
la source
Je suggérerais de ne pas avoir d' autres distributions car cela pourrait éventuellement être excessivement long, également par archive pour vous dire le dépôt de paquet? Je suppose que vous le faites, mais assurez-vous que vous ne voulez pas dire une branche svn / git ou quelque chose.
xenoterracide
debian.org/security
Daniel Dinnyes

Réponses:

16

Debian a un canal de distribution qui fournit uniquement des mises à jour de sécurité afin que les administrateurs puissent choisir d'exécuter un système stable avec seulement le minimum absolu de changements. De plus, ce canal de distribution est quelque peu séparé du canal normal: toutes les mises à jour de sécurité sont alimentées directement depuis security.debian.org, alors qu'il est recommandé d'utiliser des miroirs pour tout le reste. Cela présente un certain nombre d'avantages. (Je ne me souviens pas quelles sont les motivations officielles que j'ai lues sur les listes de diffusion Debian et lesquelles sont ma propre mini-analyse. Certaines d'entre elles sont abordées dans la FAQ sur la sécurité Debian .)

  • Les mises à jour de sécurité sont diffusées immédiatement, sans le délai encouru par les mises à jour miroir (ce qui peut ajouter environ 1 jour de temps de propagation).
  • Les miroirs peuvent devenir périmés. La distribution directe évite ce problème.
  • Il y a moins d'infrastructure à maintenir en tant que service essentiel. Même si la plupart des serveurs Debian ne sont pas disponibles et que les gens ne peuvent pas installer de nouveaux paquets, tant qu'ils security.debian.orgpointent vers un serveur qui fonctionne, les mises à jour de sécurité peuvent être distribuées.
  • Les miroirs peuvent être compromis (cela s'est produit dans le passé). Il est plus facile de regarder un seul point de distribution. Si un attaquant réussissait à télécharger un package malveillant quelque part, security.debian.orgpourrait pousser un package avec un numéro de version plus récent. Selon la nature de l'exploit et la rapidité de la réponse, cela pourrait être suffisant pour garder certaines machines non infectées ou au moins avertir les administrateurs.
  • Moins de personnes ont des droits de téléchargement sur security.debian.org. Cela limite les possibilités pour un attaquant de tenter de subvertir un compte ou une machine afin d'injecter un package malveillant.
  • Les serveurs qui n'ont pas besoin d'un accès Web ordinaire peuvent être conservés derrière un pare-feu qui ne laisse security.debian.orgpasser que.
Gilles 'SO- arrête d'être méchant'
la source
2
Le référentiel de sécurité est antérieur à la signature des fichiers de version pour les référentiels, donc la mise en miroir a été découragée, car elle a dilué la confiance implicite du téléchargement à partir de security.debian.org. Cet argument a disparu dans une certaine mesure maintenant que les métadonnées du package sont signées.
jmtd
l'hôte se security.debian.orgrésout en un tas d'adresses, donc c'est peut-être un pool de machines, même s'il n'a techniquement pas de miroirs.
Faheem Mitha
8

Je suis à peu près sûr que Debian place également les mises à jour de sécurité dans le dépôt standard.

La raison pour laquelle un référentiel distinct ne contient que des mises à jour de sécurité est que vous pouvez configurer un serveur, le diriger uniquement vers le référentiel de sécurité et automatiser les mises à jour. Vous avez maintenant un serveur qui est garanti d'avoir les derniers correctifs de sécurité sans introduire accidentellement des bogues causés par des versions incompatibles, etc.

Je ne sais pas si ce mécanisme exact est utilisé par d'autres distributions. Il existe un yumplugin pour gérer ce genre de chose pour CentOS, et Gentoo a actuellement une liste de diffusion de sécurité ( portageest actuellement en cours de modification pour prendre en charge les mises à jour de sécurité uniquement). FreeBSD et NetBSD fournissent tous deux des moyens de réaliser des audits de sécurité des ports / packages installés, qui s'intègrent bien avec les mécanismes de mise à jour intégrés. Tout compte fait, l'approche de Debian (et probablement celle d'Ubuntu, car ils sont si étroitement liés) est l'une des solutions les plus subtiles à ce problème.

Hank Gay
la source
oui car un correctif de sécurité ne pourrait jamais introduire un autre bug.
xénoterracide du
"s. Maintenant, vous avez un serveur qui est garanti d'avoir les derniers correctifs de sécurité sans introduire accidentellement des bogues causés par des versions incompatibles, etc." n'est-ce pas ce que cela signifie? Je suppose que je pourrais dire que les versions incompatibles sont le point discutable ... qu'est-ce que cela signifie exactement ... la plupart du temps, les gens qui ne rétroportent que des correctifs de sécurité ne le font pas parce qu'ils pensent qu'ABI / API est la seule chose qu'ils regarde.
xénoterracide
@xeno Êtes-vous en train de critiquer l'idée de diviser ces dépôts, ou nous avertissez-vous qu'il n'y a aucune garantie?
tshepang
1
@xeno Selon la façon dont l'amont gère les choses, les correctifs de correction de bogues peuvent être trop intrusifs pour une version «stable».
tshepang
3
La grande majorité des correctifs de sécurité sont trivialement petits: réordonner les arguments à un memset, fixer une vérification des limites sur un strncmp ou ce que vous avez. Bien sûr, ils pourraient vraisemblablement introduire d'autres bogues, mais le risque est très faible et théorique, tandis que le bogue de sécurité découvert est très pratique.
jmtd
2

Cela aide à deux choses:

  1. sécurité - obtenez d'abord vos correctifs de sécurité, puis vous courez moins de risques lors de la mise à jour du reste
  2. les mises à jour de sécurité doivent être stockées à un niveau de sécurité élevé, car vous avez tendance à compter sur elles pour protéger le reste de votre système.Il se peut donc que ce référentiel dispose de contrôles de sécurité plus solides pour éviter tout compromis.

il pourrait bien y avoir d'autres raisons, mais ce sont les deux que je trouverais utiles

Rory Alsop
la source
Vous êtes sûr d'être stocké à un niveau de sécurité élevé ? Je dis cela parce que vous exprimez un doute, pourrait l'être .
tshepang
Tshepang bien repéré - Je n'ai pas de visibilité sur l'environnement dans lequel le dépôt existe, mais c'est ainsi que je le configurerais :-)
Rory Alsop
5
Il existe au moins une forme de niveau de sécurité plus élevé: seule l'équipe de sécurité peut pousser un package security.debian.org. Je ne connais pas les détails de mise en œuvre.
Gilles 'SO- arrête d'être méchant'