Warum laden sie keine Pakete in das normale Paket-Repository hoch? Handelt es sich um eine allgemeine Konvention (Trennen auch andere Distributionen die Repositories)?
Warum laden sie keine Pakete in das normale Paket-Repository hoch? Handelt es sich um eine allgemeine Konvention (Trennen auch andere Distributionen die Repositories)?
Antworten:
Debian hat einen Distributionskanal, der nur Sicherheitsupdates bereitstellt, so dass Administratoren wählen können, ein stabiles System nur mit dem absoluten Minimum an Änderungen auszuführen. Darüber hinaus ist dieser Vertriebskanal etwas vom normalen Kanal getrennt: Alle Sicherheitsupdates werden direkt von geleitet security.debian.org
, wohingegen die Verwendung von Spiegeln für alle anderen empfohlen wird. Dies hat eine Reihe von Vorteilen. (Ich erinnere mich nicht, welche offiziellen Motive ich auf Debian-Mailinglisten gelesen habe und welche meine eigene Mini-Analyse sind. Einige davon werden in den Debian-Sicherheits-FAQ angesprochen .)
security.debian.org
, können Sicherheitsupdates verteilt werden, solange dies auf einen funktionierenden Server verweist.security.debian.org
könnte er ein Paket mit einer neueren Versionsnummer übertragen. Abhängig von der Art des Exploits und der Aktualität der Antwort kann dies ausreichen, um einige Computer nicht zu infizieren oder Administratoren zumindest zu warnen.security.debian.org
. Dies schränkt die Möglichkeiten für einen Angreifer ein, ein Konto oder einen Computer zu untergraben, um ein bösartiges Paket einzuschleusen.security.debian.org
Durchgang zulässt .security.debian.org
löst in eine Reihe von Adressen auf, daher handelt es sich möglicherweise um einen Pool von Computern, auch wenn sie technisch keine Spiegel haben.
Ich bin ziemlich sicher, dass Debian Sicherheitsupdates auch in das reguläre Repo einfügt.
Der Grund für ein separates Repo, das nur Sicherheitsupdates enthält, besteht darin, dass Sie einen Server einrichten, nur auf das Sicherheitsrepo verweisen und Updates automatisieren können. Jetzt haben Sie einen Server, auf dem die neuesten Sicherheitspatches garantiert sind, ohne versehentlich Fehler einzuführen, die durch inkompatible Versionen usw. verursacht wurden.
Ich bin nicht sicher, ob dieser genaue Mechanismus von anderen Distributionen verwendet wird. yum
Für CentOS gibt es ein Plugin, mit dem solche Dinge erledigt werden können, und Gentoo verfügt derzeit über eine Sicherheitsmailingliste ( portage
wird derzeit so geändert, dass nur Sicherheitsupdates unterstützt werden). FreeBSD und NetBSD bieten beide Möglichkeiten, Sicherheitsüberprüfungen von installierten Ports / Paketen durchzuführen, die sich gut in die eingebauten Update-Mechanismen integrieren lassen. Alles in allem ist Debians Ansatz (und wahrscheinlich Ubuntus, da sie so eng miteinander verwandt sind) eine der schnelleren Lösungen für dieses Problem.
Es hilft bei zwei Dingen:
Es könnte auch andere Gründe geben, aber das sind die beiden, die ich nützlich finden würde
security.debian.org
. Ich kenne die Implementierungsdetails nicht.