¿Por qué hay un repositorio de paquetes separado para las actualizaciones de seguridad de Debian?
¿Por qué no cargan paquetes en el repositorio de paquetes normal? ¿Es esta una convención general ... otras distribuciones también separan los repositorios?
Debian tiene un canal de distribución que proporciona actualizaciones de seguridad solo para que los administradores puedan elegir ejecutar un sistema estable con solo el mínimo absoluto de cambios. Además, este canal de distribución se mantiene algo separado del canal normal: todas las actualizaciones de seguridad se envían directamente desde security.debian.org , mientras que se recomienda utilizar espejos para todo lo demás. Esto tiene varias ventajas. (No recuerdo cuáles de estas son motivaciones oficiales que leí en las listas de correo de Debian y cuáles son mi propio mini-análisis. Algunas de ellas se mencionan en Preguntas frecuentes sobre seguridad de Debian .)
- Las actualizaciones de seguridad se distribuyen de inmediato, sin el retraso de las actualizaciones duplicadas (que pueden agregar aproximadamente 1 día de tiempo de propagación).
- Los espejos pueden volverse rancios. La distribución directa evita ese problema.
- Hay menos infraestructura que mantener como servicio crítico. Incluso si la mayoría de los servidores de Debian no están disponibles y la gente no puede instalar nuevos paquetes, siempre que
security.debian.orgapunta a un servidor en funcionamiento, se pueden distribuir actualizaciones de seguridad. - Los espejos pueden verse comprometidos (esto ha sucedido en el pasado). Es más fácil vigilar un único punto de distribución. Si un atacante logró cargar un paquete malicioso en algún lugar,
security.debian.orgpodría enviar un paquete con un número de versión más reciente. Según la naturaleza del exploit y la puntualidad de la respuesta, esto podría ser suficiente para mantener algunas máquinas sin infectar o al menos advertir a los administradores. - Menos personas tienen derechos de subida en
security.debian.org. Esto limita las posibilidades de que un atacante intente subvertir una cuenta o máquina para inyectar un paquete malicioso. - Los servidores que no necesitan un acceso web normal se pueden mantener detrás de un firewall que solo permite
security.debian.orgmediante.
Estoy bastante seguro de que Debian también incluye actualizaciones de seguridad en el repositorio regular.
La razón para tener un repositorio separado que solo contiene actualizaciones de seguridad es para que pueda configurar un servidor, solo apuntarlo al repositorio de seguridad y automatizar las actualizaciones. Ahora tiene un servidor que está garantizado para tener los últimos parches de seguridad sin introducir errores accidentalmente causados por versiones incompatibles, etc.
No estoy seguro de si este mecanismo exacto es utilizado por otras distribuciones. Hay un complemento yum para manejar este tipo de cosas para CentOS, y Gentoo actualmente tiene una lista de correo de seguridad (portage se está modificando actualmente para admitir actualizaciones solo de seguridad). FreeBSD y NetBSD proporcionan formas de realizar auditorías de seguridad de puertos/paquetes instalados, que se integran bien con los mecanismos de actualización incorporados. En total, el enfoque de Debian (y probablemente el de Ubuntu, ya que están tan estrechamente relacionados) es una de las soluciones más hábiles para este problema.
Ayuda con dos cosas:
- seguridad: primero obtenga sus correcciones de seguridad, luego correrá un riesgo menor mientras actualiza el resto
- las actualizaciones de seguridad deben almacenarse con un alto nivel de seguridad, ya que tiende a confiar en ellas para proteger el resto de su sistema, por lo que podría ser que este repositorio tenga controles de seguridad más estrictos para evitar compromisos.
bien podría haber otras razones, pero esas son las dos que me resultarían útiles
Según Salvatore Bonaccorso del equipo de seguridad de Debian (a través de un correo electrónico privado para mí), no se recomienda configurar solo el archivo de seguridad, "para ejecutar un sistema estable con solo el mínimo absoluto de cambios". Por ejemplo, en este caso, no recibirá nuevas versiones del kernel de Linux a nuevas versiones estables.
Además, no todas las correcciones de seguridad se incluyen en el archivo normal, porque a veces no se pueden crear para determinadas arquitecturas. En este caso, la solución no se puede incluir en el archivo normal, pero se incluirá en el archivo de seguridad, aunque no sea para todas las arquitecturas.
Salvatore Bonaccorso recomienda habilitar siempre ambos archivos: el archivo normal Y el archivo de seguridad.