Warum gibt es ein separates Paket-Repository für Debian-Sicherheitsupdates?

Warum laden sie keine Pakete in das normale Paket-Repository hoch? Handelt es sich um eine allgemeine Konvention (Trennen auch andere Distributionen die Repositories)?

Debian hat einen Distributionskanal, der nur Sicherheitsupdates bereitstellt, so dass Administratoren wählen können, ein stabiles System nur mit dem absoluten Minimum an Änderungen auszuführen. Darüber hinaus ist dieser Vertriebskanal etwas vom normalen Kanal getrennt: Alle Sicherheitsupdates werden direkt von geleitet security.debian.org, wohingegen die Verwendung von Spiegeln für alle anderen empfohlen wird. Dies hat eine Reihe von Vorteilen. (Ich erinnere mich nicht, welche offiziellen Motive ich auf Debian-Mailinglisten gelesen habe und welche meine eigene Mini-Analyse sind. Einige davon werden in den Debian-Sicherheits-FAQ angesprochen .)

• Sicherheitsupdates werden sofort verbreitet, ohne dass es zu Verzögerungen bei Spiegelupdates kommt (dies kann zu einer Laufzeit von ca. 1 Tag führen).
• Spiegel können abgestanden sein. Die direkte Verteilung vermeidet dieses Problem.
• Es muss weniger Infrastruktur als kritischer Service gewartet werden. Selbst wenn die meisten Debian-Server nicht verfügbar sind und die Leute keine neuen Pakete installieren können security.debian.org, können Sicherheitsupdates verteilt werden, solange dies auf einen funktionierenden Server verweist.
• Spiegel können kompromittiert werden (dies ist in der Vergangenheit passiert). Es ist einfacher, einen einzelnen Verteilungspunkt zu überwachen. Wenn ein Angreifer es geschafft hat, ein bösartiges Paket irgendwo hochzuladen, security.debian.orgkönnte er ein Paket mit einer neueren Versionsnummer übertragen. Abhängig von der Art des Exploits und der Aktualität der Antwort kann dies ausreichen, um einige Computer nicht zu infizieren oder Administratoren zumindest zu warnen.
• Weniger Personen haben Upload-Rechte für security.debian.org. Dies schränkt die Möglichkeiten für einen Angreifer ein, ein Konto oder einen Computer zu untergraben, um ein bösartiges Paket einzuschleusen.
• Server, die keinen normalen Webzugriff benötigen, können hinter einer Firewall gehalten werden, die nur security.debian.orgDurchgang zulässt .

Ich bin ziemlich sicher, dass Debian Sicherheitsupdates auch in das reguläre Repo einfügt.

Der Grund für ein separates Repo, das nur Sicherheitsupdates enthält, besteht darin, dass Sie einen Server einrichten, nur auf das Sicherheitsrepo verweisen und Updates automatisieren können. Jetzt haben Sie einen Server, auf dem die neuesten Sicherheitspatches garantiert sind, ohne versehentlich Fehler einzuführen, die durch inkompatible Versionen usw. verursacht wurden.

Ich bin nicht sicher, ob dieser genaue Mechanismus von anderen Distributionen verwendet wird. yumFür CentOS gibt es ein Plugin, mit dem solche Dinge erledigt werden können, und Gentoo verfügt derzeit über eine Sicherheitsmailingliste ( portagewird derzeit so geändert, dass nur Sicherheitsupdates unterstützt werden). FreeBSD und NetBSD bieten beide Möglichkeiten, Sicherheitsüberprüfungen von installierten Ports / Paketen durchzuführen, die sich gut in die eingebauten Update-Mechanismen integrieren lassen. Alles in allem ist Debians Ansatz (und wahrscheinlich Ubuntus, da sie so eng miteinander verwandt sind) eine der schnelleren Lösungen für dieses Problem.

Es hilft bei zwei Dingen:

1. Sicherheit - Holen Sie sich zuerst Ihre Sicherheitskorrekturen, dann haben Sie ein geringeres Risiko, während Sie den Rest aktualisieren
2. Sicherheitsupdates sollten mit einer hohen Sicherheitsstufe gespeichert werden, da Sie sich in der Regel darauf verlassen, dass sie den Rest Ihres Systems schützen. Daher verfügt dieses Repo möglicherweise über strengere Sicherheitskontrollen, um Kompromisse zu vermeiden

Es könnte auch andere Gründe geben, aber das sind die beiden, die ich nützlich finden würde