패키지를 일반 패키지 저장소에 업로드하지 않는 이유는 무엇입니까? 이것은 일반적인 규칙입니까 (IE, 다른 배포판도 저장소를 분리합니까)?
답변
데비안에는 보안 업데이트 만 제공하는 배포 채널이있어 관리자는 최소한의 변경만으로 안정적인 시스템을 실행할 수 있습니다. 또한이 배포 채널은 일반 채널과 다소 분리되어 유지됩니다. 모든 보안 업데이트는에서 직접 제공되는 security.debian.org
반면 다른 모든 항목에는 미러를 사용하는 것이 좋습니다. 이것은 많은 장점이 있습니다. (이 중 어느 것이 내가 데비안 메일 링리스트에서 읽은 공식 동기와 내 자신의 미니 분석인지는 기억 나지 않는다. 이들 중 일부는 데비안 보안 FAQ에서 다룬다 .)
- 보안 업데이트는 미러 업데이트로 인한 지연없이 즉시 전파됩니다 (약 1 일의 전파 시간 추가 가능).
- 거울이 오래 쓸 수 있습니다. 직접 배포는 그 문제를 피합니다.
- 중요한 서비스로 유지 관리 할 인프라가 적습니다. 대부분의 데비안 서버를 사용할 수없고
security.debian.org
작동하는 서버 를 가리키는 한 사람들이 새 패키지를 설치할 수없는 경우에도 보안 업데이트를 배포 할 수 있습니다. - 미러는 손상 될 수 있습니다 (이것은 과거에 발생했습니다). 단일 배포 지점을 보는 것이 더 쉽습니다. 공격자가 어딘가에 악성 패키지를 업로드 한 경우
security.debian.org
최신 버전 번호로 패키지를 푸시 할 수 있습니다. 익스플로잇의 성격과 응답의 적시성에 따라 일부 시스템을 감염시키지 않거나 최소한 관리자에게 경고하기에 충분할 수 있습니다. - 적은 사람들에 업로드 권한이
security.debian.org
. 이로 인해 공격자가 악의적 인 패키지를 주입하기 위해 계정이나 컴퓨터를 전복하려고 시도 할 가능성이 제한됩니다. - 일반적인 웹 액세스가 필요없는 서버는
security.debian.org
통과 할 수있는 방화벽 뒤에 보관할 수 있습니다 .
답변
데비안은 정기적 인 리포지토리에 보안 업데이트를 제공한다고 확신합니다.
보안 업데이트 만 포함 된 별도의 리포지토리를 갖는 이유 는 서버를 설정하고 보안 리포지토리 만 가리키고 업데이트를 자동화 할 수 있기 때문입니다. 이제 호환되지 않는 버전 등으로 인한 버그가 발생하지 않고 최신 보안 패치가 보장되는 서버가 생겼습니다.
이 정확한 메커니즘이 다른 배포판에서 사용되는지 확실하지 않습니다. yum
CentOS를 위해 이런 종류의 일을 처리 하는 플러그인이 있으며, Gentoo는 현재 보안 메일 링리스트를 가지고 있습니다 ( portage
현재 보안 전용 업데이트를 지원하도록 수정 중입니다). FreeBSD와 NetBSD는 모두 내장 된 업데이트 메커니즘과 잘 통합 된 설치된 포트 / 패키지에 대한 보안 감사를 수행하는 방법을 제공합니다. 데비안의 접근 방식 (그리고 아마도 우분투의 접근 방식은 매우 밀접하게 관련되어 있기 때문에)은이 문제에 대한 해결책 중 하나입니다.
답변
두 가지 일에 도움이됩니다.
- 안전-먼저 보안 수정 프로그램을 받으면 나머지를 업데이트하는 동안 위험이 줄어 듭니다.
- 보안 업데이트는 시스템의 나머지 부분을 보호하기 위해 의존하는 경향이 있으므로 높은 보안 수준으로 저장해야합니다. 따라서이 리포지토리는 보안을 강화하여 보안 침해를 방지 할 수 있습니다.
다른 이유가있을 수 있지만, 이것이 제가 유용하다고 생각하는 두 가지입니다